新型「ポルノメール」出回る

 今年の1月には、IKARUSのスパムフィルターが脅迫メールを検知。メール受信者はプライベートな映像が公開されるのを避けるべく、ビットコインでの支払いを強要されます。

 いわゆる「セクストーション」あるいは「パケットポーション」とも呼ばれるスパムメールの第二波もまた、脅迫の信憑性を高めています。脅迫(容疑)者は受信者自身のメールアドレスを用いる事で、あたかも全てのアカウントデータにアクセスできるかのように装います。被害者の携帯電話の末尾の番号などをメールのタイトルやテキストに記載することで、さながら「証拠」っぽく装うことも。

 通例、脅迫者は被害者を常に観察していたのだと主張します。アダルトサイトの閲覧中なども。そこに仕込んだトロイによって、気付かぬうちに全てのデバイスの――カメラやマイク、通信データなどの――制御を乗っ取ったと言うのです。そしてそれらをネット上にバラ巻かれたくなければ、ビットコインを寄越せ、と。

問題なし: 脅しは嘘っぱち

 犯罪者にとって、ネット上で自由に収集できる膨大なユーザーデータを用いれば、この手のソーシャルエンジニアリングはお手の物です。技術的に言って、送信者のアドレスを特定することは実に容易いのです。ハッソ・プラットナー研究所(HPI)の個人情報チェッカーhttps://sec.hpi.de/ilc/ を用いてチェックしましょう。あなたの個人情報が本当に漏洩しているかどうか、またその時期についても判明します。
折をみて、不要なアカウントは削除を。古いユーザーデータはアップデートを!

 たとえメールで容疑者がトラッキングピクセルを仕込んでメールがいつ読まれたかを追跡しており、読んでから48時間以内に$933相当のビットコインを支払えなどと脅してきたとしても、それが嘘であることは検証済みです。よってメールを開いてしまっても、文面で脅されているような不快な結果を招くことはありません。

 身代金を要求する電子メールの作者がいかにもっともらしい事を書いていても、言語や通貨が(現段階では?)個々の被害者の素性に合致していないのは明白です。恐らく今後はそうでないものも出てくるのでしょう。件名やアドレス、要求額などは折々に様変わりするもの。ずっと同じ定型文はこけ脅しです。

より安全なインターネットのためのヒント

  • 定期的にマルウェアスキャンを実行する。
  • 古い、安全でないパスワードを一新する――文字数が多いほど安全です。
  • サービスごとに違うパスワードを。パスワードマネージャーの利用がお勧めです(例:KeePassなど)。
  • よく利用するプログラムを最も安全なバージョンへと自動アップデートするよう設定する。
  • こけ脅しメールなどは弾いてしまうように、有効なスパムフィルターを利用する。
  • モバイルをも含むすべてのデバイスに対し専門のアンチウイルスソフトを用いて保護し、安全な接続を確保する。特に無料の無線LANに注意。
  • インターネット上で不正なプログラムはダウンロードしない。思わせぶりなリンクは踏まず、必要に応じてURLフィルターを利用する。
  • データの消失やランサムウェアから攻撃されるのを防ぐべく、システムを再インストールできるよう定期的にバックアップを作成しておく。
  • 疑わしい電子メールは検索を。脅しや詐欺に関しての最新情報を入手する。