Lightshotのスクリーンショットを利用した暗号資産(仮想通貨)詐欺

Lightshotのスクリーンショット共有機能がもたらす情報漏洩の危険と、これを逆手に取った詐欺の手口。

暗号資産(仮想通貨)詐欺は、日に日に勢いを増しているようです。これまでに、Discordを利用する人たちを狙った詐欺が次々と現れました。取引所から届いたように見せかけた嘘のコインプレゼントキャンペーンのダイレクトメッセージを送る、こういったキャンペーンで仮想通貨をもらえた人のことを取り上げた記事をでっち上げて偽のニュースサイトに掲載する、エアドロップキャンペーンの嘘のお知らせをダイレクトメッセージで送る、といった手口が見られています。新たに登場したのは、Lightshotのスクリーンショット共有を悪用して、好奇心が強すぎる仮想通貨投資家からお金を巻き上げようとする手口です。

便利さと安全性は別のもの

詐欺の手口を紹介する前に、まずは、Lightshot を通じて意図せず情報を漏らしてしまう危険について見ていきましょう。Lightshotは、スクリーンショットの作成、編集、送信を簡単に行うことができるツールです。Windows、macOS、Ubuntu用のアプリとprnt.scというクラウドポータルで構成されていて、スクリーンショットを撮影したらすぐに簡単にシェアできるようになっています。撮影した画像をワンクリック(またはショートカット)でクラウドに送信すれば、共有するためのURLが生成されます。

公開されたスクリーンショットは、誰でも認証なしで見ることができます。Lightshotのアカウントを持っている必要はありません。そのおかげで早くて便利なサービスが実現しているわけですが、あまり安全ではありません。

その上、リンクを正確に知っていなくてもスクリーンショットを見ることが可能です。URLには連続性があるので、たとえばURLのうちの1文字を次の順序の文字に変えれば、別の画像が表示されます。このプロセスは自動化できますから、URLを総当たりしてコンテンツをダウンロードする簡単なスクリプトは数分あれば作成できます。

これほどオープンな状態になっているのは、バグではなく仕様です。Lightshotのプライバシーポリシーには、アップロードした画像はすべて公開状態となることが記されています(リンク先は英語)。しかし、Lightshotを通じた重要情報の漏洩がたびたびニュースになっているところを見ると、すべての人が注意書きを読んでいるわけではないことがよく分かります(リンク先は英語)。

Lightshotでどのようにデータが漏洩するのか

では、公開の場所にスクリーンショットが置かれると何が問題なのでしょうか?ゲームの記録や業務メールに書かれた冗談を公開しても、誰も気にしないのでは?いえ、想像力を働かせてみてください。公にすることで、誰かの個人的な情報を本人の同意を得ずにネット上にさらすこと(ドキシング)になるかもしれません。

例えば、新しいプログラムをセットアップしようとしている社員が、セットアップ方法が分からなくて、プログラム画面のスクリーンショットを撮ってヘルプを求めているとしましょう。一見、問題はなさそうです。では、そのプログラム画面の下に、社外秘の情報が書かれたドキュメントが少し見えていたとしたらどうでしょうか。別の例を考えてみましょう。業務でやり取りしたメールがかなり笑えるので友だちに見せようと思った場合。恋人との仲良しチャットを自慢しようとして、名前やアドレスを隠し忘れていた場合。スクリーンショットを公の場にアップすることで、どんなことになると思いますか?

Lightshotでそのような画像を公開すると、深刻なトラブルのもとになる可能性があります。世の中にはこういう個人的な情報が入り込んでいる写真を探し回って面白がる人々や(英語)、こういった写真を使って嫌がらせをする人たちがいます。また、外に漏らしてはならない情報が写り込んでいることを利用して、サイバー犯罪者がお金を脅し取ろうとする場合もあります。

好奇心につけ込み、罠を張る

その一方で、日ごろから不用意なデータ公開をしないように気を付けている人でも、Lightshotの落とし穴にはまってしまう場合があります。Lightshotの抱える「意図せぬ情報公開」という側面を逆手に取った詐欺が現れているのです。

例を挙げましょう。Lightshotの共有場所に、仮想通貨ウォレットの情報が書かれたスクリーンショットがアップロードされています。意図を持ってアカウント情報がシェアされているように見えるもの、取引に関するヘルプを求める内容のもの、中には脈略のない妙なもの(私たちは遺書めいた記述も目にしました)もあります。

偽の仮想通貨アカウントの認証情報が含まれるやり取りのスクリーンショット

偽の仮想通貨アカウントの認証情報が含まれるやり取りのスクリーンショット

また、意図せずLightshotでアカウント情報を公開してしまったように見えるものもあります。例えば、仮想通貨ウォレットのパスワード再設定用メールらしきスクリーンショットがありました。

偽の仮想通貨アカウント用の偽のパスワードリセットメール

偽の仮想通貨アカウント用の偽のパスワードリセットメール

好奇心に駆られて、または何かいいことがあるのではないかと期待して、スクリーンショットにあるURLにアクセスしたとしましょう。すると、仮想通貨取引所に見せかけたWebサイトが開きます。認証情報を入力してアカウント(当然、偽物)にログインすると、そのアカウントは多額の仮想通貨—例えば0.8 BTC(本記事執筆時点で45,000ドル以上。50万円弱に相当)くらい—を保持しています。ログインしている以上、このアカウントから資金を引き出して自分自身のアカウントに送金することが可能です。

さて、送金しようとすると、取引所から少額の手数料が要求されます。引き出そうとしている額に比べればわずかですが、これは紛れもなく詐欺であり、手数料が詐欺師の手に渡るだけで送金は行われません。また、「わずか」とは送金額に比べての話です。例えば手数料が0.001~0.0015 BTCだった場合、現在のビットコインのレートでは60~90ドル(日本円で6,500〜1万円弱)ほどです。

この詐欺は全体としてうまくいっているようで、ある意味、洗練されたところがあります。「手数料」用のウォレットには、本記事の執筆時点までに0.1 BTC(約6,000ドル、約65万円に相当)が送金されています。

安全でいるために

便利であるということは、安全やプライバシーが保たれていることとは別物です。むしろ、その逆である場合が多いと言えるかもしれません。Lightshotはその典型例です。スクリーンショットを安全に取り扱うには、以下の点にご注意を。

  • Lightshotをインストールする前に、本当にスクリーンショットを公の場にシェアしてよいのか、よく考えてみてください。
  • インストールすることにした場合は、重要情報がサイバー犯罪者に利用される可能性があることに十分留意しましょう。クレジットカードの情報、パスワード、その他の個人情報が知られてしまうと、大変なことになります。そういう情報を含むスクリーンショットを共有するときには、Lightshotを使うのではなく、安全性の高い手段を使用してください。できれば、共有しないのが一番です。
  • すでにLightshotを使っていて、何らかの情報をシェアしてしまっている場合は、画像アップロード先のURLにアクセスして[Report abuse]をクリックするか、support@skillbrains.comに削除リクエストをメールしてください。
  • スクリーンショットを作成するときは、OSに組み込まれているツールまたはショートカットを使用しましょう。Windowsの場合は、Snipping Tool、Print Screenといったツールがあります。Macの場合は、コマンドキー+シフトキー+[3]を同時に押すと全画面キャプチャを保存でき、コマンドキー+シフトキー+[4]を押すと範囲を指定してスクリーンショットを取得できます。

最後に明確にしておきたいのですが、他人のアカウントにログインすることは、単に好奇心からであっても、絶対にお勧めしません。また、ログイン情報を誤って詐欺師の手に渡してしまうことがないように、アクセスしようとした先が怪しいWebサイトであることを警告する機能のあるセキュリティ製品を使用することをお勧めします。

ヒント