カスペルスキーが本件について最初に報告したのは2018年9月でしたが、セクストーション詐欺スパムは多言語化され、現在もなお世界中で拡散が続いています。
セクストーション詐欺スパム ― 何が新しいのか?
「セクストーション」とは、「sex(性的な)」と「extortion(ゆすり、恐喝)」という言葉を足し合わせた造語です。日本語としては馴染みのない言葉ですが、これは性的なコンテンツを盾に相手を脅す行為を意味しています。本ブログ「Kaspersky Daily」で初めてセクストーションについて言及したのは2014年ですが、これはデバイスやオンライン上でのやりとりなどから入手した、被害者の実際の性的な写真や動画などをもとに行われる恐喝行為を紹介したものでした。
このように、攻撃者が脅しのネタとなるコンテンツを持っているのが一般的なセクストーションですが、2018年になると、セクストーション詐欺スパム、厳密には「セクストーションを装い、仮想通貨を要求するスパムメール」の拡散が観測されました。本来のセクストーションと区別するため、ここでは「セクストーション詐欺スパム」と呼ぶことにします。
今回のセクストーション詐欺スパムでは、攻撃者が実際の性的なコンテンツを持っていないにもかかわらず、「あなたのデバイスをハッキングし、あなたがポルノサイトを閲覧している様子を記録した。コンテンツを知り合いにばらまかれたくなければBitcoinで〇〇ドル支払え」などと要求します。
巧妙なソーシャルエンジニアリング
このスパムメールを受け取った人の中には、残念ながらその脅しを信じてしまい、要求された金額を支払ってしまった人が世界中に存在するようです。支払ってしまう理由は、巧妙なソーシャルエンジニアリングにあると考えられます。
1. 差出人メールアドレスが宛先(自分)のメールアドレスと同じである
流通しているセクストーション詐欺スパムすべてに当てはまるわけではありませんが、差出人メールアドレスが偽装され、自分のアドレスから送られたメールを装っていることがあります。これは「あなたのアカウントをハッキングした」というメール本文の主張に信憑性を持たせることが目的と考えられます。
2. 過去に漏洩したメールアドレスやパスワードがメールの件名や本文に含まれている
残念ながら、メールアドレスやパスワードなどの個人情報の流出事故は頻繁に発生しています。このセクストーション詐欺スパムでは、過去に流出したと見られるパスワード情報が書かれている場合がありました。メールアドレスとパスワードの組み合わせが正しかった場合、メールを受信した人は「本当にハッキングされたのかもしれない」と不安にさらされることになります。
3. メール本文に書かれたメッセージ
「あなたがポルノを楽しんでいるところの動画を取得した」というメッセージはかなり強烈です。プライバシーに関わる秘密にしておきたい情報をアドレス帳の連絡先にばらまくという脅しによって、恐怖と不安が煽られ、攻撃者の要求を受け入れてしまいかねません。内容的に誰かに相談しづらいという面もあります。
4. 支払い可能な要求金額
日本語で書かれたセクストーション詐欺スパムで要求される支払い額は、およそ5万円から10万円ほどです。自分のプライバシーが無遠慮に暴かれることと、攻撃者に金銭を支払うことを天秤にかけた場合、よほどの高額でなければ、多くの人は黙ってお金を払ってしまうのではないでしょうか。
支払われた金額 ― 被害者が支払った金額?
2018年7月〜2019年2月にカスペルスキーで観測したセクストーション詐欺スパムからBitcoinアドレスを抽出したところ、152個のユニークなアドレスが見つかりました。それらのアドレスに対する支払い状況を確認したところ、合計すると105.13 BTC, 日本円換算だと約4300万円になりました。(2019年3月4日の換算レート)
Bitcoinアドレスは匿名性を持つため、どこの誰がアドレスを所有しているかは分かりませんが、Bitcoinが取引されている様子は誰でも追うことができます。それをふまえてBitcoinの取引を追跡すると、これらのアドレスへの入金すべてが被害者からのものであるとは言い切れませんが、セクストーション詐欺に関連するBitcoinアドレスに対して、だまされてしまった人の被害もしくは何らかの経済活動が発生していることが見て取れます。
以下の図は、セクストーション詐欺スパムが拡散を開始して以降、2月までのBitcoinアドレスへの入金状況を月ごとにまとめたものです。
だまされないために
残念ながら、攻撃者は巧妙なソーシャルエンジニアリングとスパムメールの配信だけで、収益を上げることができると学びました。過去に漏洩した個人情報を効果的に組み合わせ、また別の種類のスパムメールを配信することも予想されます。実際、海外では「爆弾を仕掛けたからBitcoinをよこせ」「殺し屋を送り込まれたくなければBitcoinをよこせ」などのメールの拡散が確認されています。(英語で書かれた殺し屋メールは、カスペルスキーのメールアドレスにも届いていました。)
セクストーション詐欺に限らず、もし仮想通貨を支払えと書かれたスパムメールを受け取ったら、慌てずにその仮想通貨のアドレスをGoogleなどで検索してみてください。多くの場合、誰かの書き込みやアドバイスなどが見つかります。急がせたり、焦らせたりするのは攻撃者が取る常套手段です。
自分が利用したことのあるパスワードがスパムメールに含まれている場合、過去にそのパスワードが使われていたサービスから個人情報が漏洩した可能性があります。該当のサービスで利用しているパスワードを速やかにご変更ください。
今回ご紹介したのは証拠のないセクストーションを騙るスパムでしたが、スマートフォンやPC、そしてデータを守るため、OSのアップデートやセキュリティソフトの利用といった基本的な対策もお忘れなく。