情報セキュリティ
公開日:2018年10月10日
最終更新日:2021年9月8日
独立行政法人情報処理推進機構
セキュリティセンター
性的な映像をばらまくと恐喝し、仮想通貨で金銭を要求する迷惑メールに注意
※2021年3月30日追記
本手口に関して、現在でも引き続き多数の相談が寄せられており、2021年3月21日に確認した文面を図6として追記しました。
文面の日本語の不自然さが無くなってきていますが、以前と同様に内容に信憑性があるものではありませんので、メールは無視して削除して下さい。
本手口で、支払いに応じなかったために映像等がばらまかれたなどの事例は当窓口では1件も確認されていませんので、騙されないようにしてください。
※2019年10月8日追記
本手口に関して、2018年10月に注意喚起を行いましたが、1年経った現在でも継続して相談が寄せられています。2019年9月末時点で、相談件数の累計は約1,300件です。
脅迫文には多様なバリエーションがありますが、述べられている内容は当初から変わりません。
これまで寄せられている相談では、撮影したとされる映像ファイル等の情報が、メール内にあった事例は確認されていません。また、支払いに応じなかったために映像等がばらまかれたなどの事例も確認されていません。
2018年7月以降、「アダルトサイトを閲覧しているあなたの姿をウェブカメラで撮影した。家族や同僚にばらまかれたくなければ仮想通貨で金銭を支払え」というメールを受信したという相談が多く寄せられています。これは性的な映像をばらまくと脅すセクストーションの一種で、支払いを仮想通貨で要求するものです。
はじめてこの相談をうけたのは2018年の3月で、その後相談が再度寄せられたのは7月でした。7月と8月は合わせて30件(脚注1)と件数が増加し、9月には263件の相談が寄せられました。
IPAが確認した範囲では、そのメール文中には、本来あるべき映像へのURLリンクや、映像ファイルの添付がありませんでした。よって、これらは単なる迷惑メールの可能性が非常に高いと考えられます。また、8月まではメール文面は全て英語で書かれていましたが、9月19日以降日本語で書かれたメールについての相談が多く寄せられるようになりました。しかし、その日本語は不自然で、英文を翻訳サイト等の機械翻訳にかけたものと考えられます。
(脚注1)7月:17件、8月:13件
メールの内容は複数のパターンが確認されていますが、特徴として以下の点があります。
「あなたが見たアダルトサイトにウイルスを仕込んだ。」「それにより、あなたがアダルトサイトを見ている姿をウェブカメラで撮影した。(図2-B、図3-B、図4-A、図5-B)」「その後に、あなたの電子メールやSNSにある連絡先を収集した。」というような内容の説明がされています。その文面にはいくつかのパターンが確認されています。
「撮影されたあなたの映像を家族や同僚にばらまかれたくなかったら、ビットコインで5,000ドル(金額はケースによって異なります。)を支払え(図2-C、図3-C、図4-B、図5-C)」「支払えば、撮影した映像は即座に消去する」と記載されています。また、ビットコインを利用する際の口座番号に相当するビットコインアドレス等が記載されています(図2-D、図3-C、図4-C、図5-C)。
送信先と送信元が両方とも自分の同じアドレスになっている場合がありました(図3-A、図5-A)。これは送信時に差出人メールアドレスを詐称していると推察され、その様な詐称は技術的に可能です。迷惑メールのフィルタリングを回避することや、あたかもメールアカウントをハッキングしたと信じさせることが目的と考えられます。
実際に受信者がウェブサービス等で設定したことのあるパスワードが1つ、メールの件名や本文冒頭に記載されている場合がありました(図2-A)。「これがあなたのパスワードであることを知っている」というような説明がされています。相談では、そのパスワードは、現在使用中のものである場合と、そうではなく古いものの場合とがありました。これは、外部のサービスから何らかの原因でデータが漏えいし、それをもとに記載されていると考えられます。しかし流出経路とその原因は不明です。
この手口は迷惑メールの一種にすぎず、メールは無視して、仮想通貨の支払いは行わないでください。
メールに記載されていたパスワードを現在も使用している場合は、パスワードの変更をしてください。 また、サービスによって設定可能であれば2段階認証の設定を推奨します。なお、パスワードはできるだけ「長く」、「複雑」にし、複数のサービスで「使い回さない」ことが重要です。(脚注2)
(脚注2)不正ログイン対策特集ページ
本手口に関する検証動画をYouTubeに投稿しておりますので、合わせてご覧ください。
IPAセキュリティセンター 情報セキュリティ安心相談窓口
URL
記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。
2021年9月8日
3. 手口検証動画を追記
2021年3月30日
最新のメール文面を追記
2019年10月8日
相談件数のグラフ等を追記
2018年10月10日
掲載