デジタルセキュリティおよびプライバシー製品のグローバルリーダーであるアバストは、オンライン上の性的脅迫「セクストーション」の詐欺メールを2021年1月だけで世界で50万件以上、日本では約2万件阻止したことを発表しました。セクストーションは、サイバー犯罪者の標的に「性的な写真・メッセージ・動画などを入手しているため、身代金を支払わなければ公開する」といった内容のメールが送られる、オンライン上での脅迫です。アバスト脅威研究所は、セクストーション詐欺と思われるメールを受信した際は、慌てずにメールを無視するよう注意喚起をしています。

アバストが阻止した「セクストーション」詐欺の件数で色分けした世界地図です。赤色が濃いほど件数が多い国を表しています。2021年1月、アバストは世界で50万件以上のセクストーション詐欺を阻止しました。

セクストーション詐欺の中でも、新型コロナウイルス感染拡大の影響で急増したビデオ会議サービスを悪用し、被害者のデバイスやカメラにアクセスしたように見せかける手口が最も多く確認されています。アバストは、2020年12月末にこの手口による攻撃の増加を発見し、2021年1月だけで世界で50万件以上、日本では約2万件のセクストーションを阻止しました。Zoomの脆弱性を突いてデバイスやカメラに侵入したという記述で受信者の不安を煽るメールも見られますが、Zoomにて重大な脆弱性は確認されていません。メールには、「機密情報にアクセスし、性的な行為を録画した。ビットコインで2千米ドルを支払わなければ公開する」といった内容が書かれていることもあります。この手法の特徴は、自分のメールアドレスから自分宛にメールが送信されているように見える点です。しかし、表示される送信者名だけが偽装されており、隠れている箇所をクリックすると、実際の送信者のメールアドレスが表示される仕組みになっています。

2番目に多い手口は、事前にデバイスに侵入させたトロイの木馬により、デバイスのマイクとウェブカメラで被害者の行動をすべて記録し、チャットやSNS、連絡先を含むすべてのデータを入手したと主張するメールです。攻撃者は、暗号通貨で身代金を要求し、さらに、被害者の不安を煽るため身代金の支払期限をメールに記載することもあります。

アバストのマルウェアアナリストであるマレク・ベノ（Marek Beno）は、次のように述べています。「こうした脅迫は詐欺です。セキュリティソフトがインストールされている場合、トロイの木馬は必ず検出されますし、実際にはあなたの行動は何も記録されておらず、データも入手されていません。メールに記載されている支払い期限は、被害者を騙し、お金を支払わせるためのソーシャルエンジニアリングに過ぎないのです。」

アバスト脅威研究所は、元々他言語で書かれたテキストがGoogle翻訳のようなツールで自動翻訳されているセクストーション詐欺メールも確認しています。

セクストーション詐欺メールの特徴と見分け方

• セクストーション詐欺メールでは、メールの送信者がユーザーの性的な行為の録画などを入手していると主張しています。
• 攻撃者は、被害者を脅迫してお金を払わせるために、その状況の恥ずかしさを強調し、ビットコインなどの暗号通貨での支払いを要求します。
• 多くの場合、攻撃者はGoogle翻訳などを使用してテキストを翻訳しています。メールで使用されている日本語のクオリティが低い場合、そのメールの信憑性が低いことを示唆しています。
• 場合によっては、被害者自身が送信したように偽装されているメールもありますが、送信者名をクリックすることで本当の送信者名とメールアドレスを簡単に確認することができます。
• メールの信憑性を高めるために、攻撃者が過去に流出したあなたのパスワードを表示してくる場合がありますが、流出したパスワードはダークウェブで販売されており、攻撃者がユーザーの不安を煽るために悪用している可能性も考えられます。

アバストが確認した日本語の詐欺メール

セクストーション詐欺メールから身を守る方法

• 冷静になりましょう。実際には、攻撃者は録音や録画データは入手しておらず、ソーシャルエンジニアリングの手法を使って、あなたを脅迫してお金を支払わせようとしているに過ぎません。
• スパムメールを扱うのと同じように、メールは無視しましょう。返信したり、お金を支払ったりしないでください。
• 攻撃者が過去に流出したあなたのパスワードを持っていた場合、長くて複雑なパスワードに変更しましょう。