以下の文章は、電子フロンティア財団の「New Email Scam Includes Pictures of Your House. Don’t Fall For It.」という記事を翻訳したものである。

Electronic Frontier Foundation

この記事にたどり着いたあなたは、おそらくこんな状況にいるのではないだろうか。自称ハッカーから脅迫メールが届いた。「金を払わなければ、あなたの性的な写真などの絶対に知られたくないな情報を、友人や家族全員に送りつける」という。さらに恐ろしいことに、添付のPDFには「[あなたの名前].pdf」家の写真まで入っている。この恐ろしい状況でどうすればいいのか、自分を特定したような脅迫にどう対応すべきか、必死に情報を探しているところだろう。

どうか落ち着いてほしい。メールでどう言われていようと、あなたはおそらくハッキングされていない(少なくとも、そのメールに書かれているような状況ではない)。これは昔からある詐欺の新たな亜種、正確には「セクストーション」と呼ばれる詐欺の一種だ。これは世界中のユーザを狙い、デジタル時代の恐怖につけ込んだオンラインフィッシングの一種である。一般に、公開情報やデータ流出から得た情報を使っているだけで、メールの受信者を個別にハッキングして得た情報を提示しているのではない。つまり、送信者が「誰にも知られたくないあなたの恥ずかしい」な写真を持っているわけでもないし、あなたのアカウントやデバイスをハッキングしている可能性は極めて低い。

自衛策をいくつか紹介するが、いちばん重要なアドバイスを先に教えておこう。絶対に身代金を払ってはならない。

この記事の最後に、この詐欺メールの例を載せた。大まかな内容はこうだ。ハッカーがあなたのコンピュータに侵入したと言って、恥ずかしい情報――ウェブカメラで撮った画像やポルノサイトの閲覧履歴など――をあなたの友人、家族、同僚に公開すると脅す。そして、数千ドル(たいていビットコインで)を送金すれば、この件を水に流すと約束する。これは、見知らぬ人物が友人になりすまして性的な写真などやりとりさせ、その後その情報で脅して金銭を要求する類のセクストーション詐欺とは異なる。後者はより危険な状況で、より慎重な対応が必要となる。

このメールが特に不安をかき立てるのは、いかにも真実であるように装い、冒頭であなたの住所、フルネーム、さらには家の写真まで示していることだ。

繰り返すが、これでもあなたがハッキングされたわけではない。おそらく詐欺師は漏洩した名前、メールアドレス、自宅住所のリストを手に入れ、何百万人もの人々にこのメールを送りつけている。その中でほんの一握りの人でも、心配のあまり金を支払ってくれれば儲けものだと踏んでやっているのである。

以下に、この手の詐欺メールを受け取った人向けのFAQを載せておこう。

ヤツは私の住所と電話番号を知っている!どうやって私の家の写真を手に入れたの?

安心してほしい。詐欺師が実際にあなたの家の外で写真を撮っていたわけではない。良くも悪くも、私たちの家の写真はネット上にあふれている。Google ストリートビューから不動産サイトまで、住所さえあれば誰かの家の写真を見つけるのは簡単だ。自宅に関する公開データは気味が悪いかもしれないが、政府の財産に関する同様のデータには透明性という利点がある。

残念ながら、現代ではデータ漏洩は珍しくなく、大量の個人情報がしばしばネットの闇市場にまで流れ着く。詐欺師はそうしたリストや複数のリスト(メールアドレス、名前、電話番号、住所を含む)を入手し、それ以外は定型文の大量メールに真実の核を含めることで、信憑性を持たせようとしている。

住所や電話番号を変えるのは、パスワードを変えるよりずっと難しい。ここでできる最善の対策は、自分の情報が出回っていることを自覚し、この情報を使った今後の詐欺に警戒することだ。この情報(流出した社会保障番号などの他の情報とともに)はなりすまし犯罪に使われる可能性があるため、信用情報の凍結も検討すべきだ。

もちろん、情報漏洩に関する警告があった場合は、必ずパスワードを変更しよう。また、Have I Been Pwnedのようなサービスを使って、大規模なパスワード漏洩の被害に遭っていないかチェックするのもいい。

メールに返信すべき?

絶対にやめよう。この手の詐欺では、犯人は何百万人もの中からごく一部の人からしか反応がないことは織り込み済みだ。基本的には、昔ながらのナイジェリア王子を騙る詐欺と大差なく、ただ餌が異なるだけである。詐欺師たちは、そもそもほとんどの人がメールを開きもしないことは理解している。だが、一度でも返信があれば――そして会話が始まれば――彼らは次の、より高度な段階に進むだろう。一切返信しないのが一番だ。

つまり、身代金を払うべきじゃないってこと?

身代金を払ってはいけない。身代金を払えば、お金を失うだけでなく、詐欺師が他の人々をだまし続けることを助長してしまう。さらに、もし払ってしまえば、詐欺師はあなたが弱みに付け込めると知り、さらに恐喝を続けるおそれがある。

それで何をすればいい?

残念ながら、できることはあまりない。ただ、常に有効な基本的なセキュリティ対策がいくつかある。パスワードマネージャを使って、パスワードを強力で独自のものにしよう。これからは、オンラインアカウントでその選択肢がある場合には必ず二要素認証を有効にするようにしよう。また、オンラインでのセキュリティとプライバシーを守る方法について、さらなるヒントを得るためにSurveillance Self-Defenseガイドを確認してみるのもいい。

自分を守るもう一つの方法は、コンピュータのカメラにカバーを付けることだ。私たちのストアでいくつか提供しているが、小さな絶縁テープでも十分だ。これは、悪意のあるアプリがカメラをオンにしているのではないか、あるいは自分でオンにしたままになっていないか――可能性は低いが起こりうるシナリオ――と心配せずに済む。

この経験は決して楽しくないだろうが、世界の終わりでもない。詐欺師の何の根拠もない脅しを無視し、今後はしっかりとしたセキュリティ対策を実践していけばいい。

結局のところ、これは消費者が解決すべき問題ではない。問題の根本は、データブローカーやほぼすべての企業が、私たちに関する情報を長期間にわたって過剰に保存することを許されてきたことにある。必然的に、これらデータは流出し、闇市場に流れ込み、売買され、このような詐欺に利用される。これに対抗する最も効果的な方法は、包括的な連邦プライバシー法を制定することだ。データが存在しなければ、流出もしないのだから。あなたにできる最善のことは、議会や州レベルでそのような法律の制定を支持することだ。

以下は、EFFの従業員に送られた実際の詐欺の例である。詐欺の文面は多くの被害者で類似している。

例1

[名前]、お前が動かないなら、[電話番号]に電話するか、[お前の住所]に直接行くのが手っ取り早いだろうな。逃げても無駄だ。[お前の街]で俺に何ができるか、想像もつかないだろう。

このメッセージをよく読め。落ち着いて、深呼吸して、よく考えろ。これからお前と俺の間で取引の話をする。ふざけてなんかいない。お前は俺のことを知らないが、俺はお前のことをよく知っている。今、どうやって?って思ってるだろ?そうだな、お前は危ない橋を渡ってる。あのビデオを見たり、リンクをクリックしたり、危険なサイトに行ったりしてな。俺はポルノサイトにマルウェアを仕掛けた。お前がそれを見に行った(わかるな)。あのビデオを見てる間、お前のスマホはRDP(リモートコントロール)として働き始め、完全に支配下に置いた。お前の画面に映るものすべてを見られるし、カメラやマイクをオンにしても、気づかないだろう。ああ、そうだ。お前のメール、連絡先、SNSアカウントにもアクセスしてる。

しばらくの間、お前の惨めな人生を眺めていた。俺がお前の悪事を知ったのは、単にお前の運が悪かっただけだ。お前の個人的な生活を調べるのに、必要以上の時間を使った。お前のシステムからジューシーな情報をたっぷり引き出した。そして、すべて見た。ああ、そうだ。お前が部屋でやらしいことをしてる映像も持ってる(ところで、いい家具の趣味してるな)。そして、画面の片側にお前が楽しんでた恥ずかしいアレがあり、もう片側にお前の間抜けなツラが並んだ動画とスクリーンショットを作った。クリック一つで、この動画をお前の知り合い全員に送れる。

不安になってるのはわかる。でも、現実を見ろ。実は、俺はこの件を水に流して、お前が普通の生活に戻れるようにしたいんだ。二つの選択肢を与えよう。一つ目は、このメールを無視すること。この道を選んだらどうなるか考えてみろ。お前の動画が知り合い全員に送られる。その動画は炎上モノだ。同僚、友達、家族がそれを見たときの屈辱は想像もつかないだ。でも、それが人生ってもんだ、違うか? 被害者ぶるなよ?

選択肢2は、金を払って、この件について俺が口を閉ざすことだ。これを俺の「プライバシー料金」と呼ぼう。この選択肢を選んだら何が起こるか教えてやる。お前の秘密は守られる。支払いが済んだら、すべてのデータと証拠を消す。支払いはビットコインだけだ。

よく聞け。はっきり言う。「取引をしろ」。善意でやってるんだってことを分かってほしい。俺の言葉は約束だ。

必要な金額:1950ドル

ビットコインアドレス:[編集済み]

言っとくが、これはお前の平和な生活のためには安いもんだ。

注意しろ:支払いは1日しか猶予がない。ビットコインだけだ(このメッセージには特別な仕掛けがあって、お前がこれを読んだことが分かるようになってる)。俺のシステムがビットコインの支払いを検知したら、お前に関する汚い情報を全部消す。返信や交渉は考えるな。無駄だ。このメールとウォレットはお前専用に作ったもので、追跡不可能だ。このメールを誰かと共有したり話し合ったりしたと気づいたら、即座にゴミがお前の知り合いに送られ始める。電話の電源を切ったり、初期化したりするのも考えるな。意味ないからな。俺はミスなんてしない、[名前]。

どこかわかるか?

正直、カメラを覆うってネットのアドバイス、思ったほど無駄じゃないんだぜ。支払い、待ってる…

例2

「[名前]、反応がないなら、[住所]に直接行くのが一番いいかもな。

ところで、いい近所じゃないか。

このメッセージ、今すぐよく読め。落ち着いて、深呼吸して、よく考えろ。これから話すのは真剣な話だ。遊びじゃない。お前は俺のことを何も知らないが、俺はお前のことをよく知ってる。今、どうやって?って思っただろ、そうだな?

お前、危ない橋を渡ってるぞ。あんな恥ずかしいビデオを見たり、リンクをクリックしたり、やばいサイトに行ったりしてな。お前がよく使うアププに「ペガサス」ってスパイウェアを仕込んだ。ペガサスは、iOSとAndroidのスマホに密かにリモートでインストールできるスパイウェアだ。ビデオを見てる間、お前のデバイスはRDP(リモートプロトコル)として働き始め、完全に支配下に置いた。お前の画面に映るものすべて見られるし、カメラやマイクをオンにしても、気づかないだろうな。ああ、そうだ。お前のメール、連絡先、SNSアカウントにもアクセスしてる。

俺が欲しいもの?

しばらくの間、お前の惨めな存在を見てた。俺がお前の悪事を知ったのは、単にお前の運が悪かっただけだ。お前の個人的な生活を調べるのに、おそらく必要以上の時間を使った。お前のシステムからジューシーな情報をたっぷり引き出した。そして、すべて見た。ああ、そうだ。お前が部屋で恥ずかしいことしてる映像も持ってる(セットアップはいいな)。そして、画面の片側にお前が楽しんでたくだらないものがあり、もう片側にお前の間抜けな顔がある動画とスクリーンショットを作った。クリック一つで、この汚いもんをお前の知り合い全員に送れる。

お前に何ができる?

不安になってるのはわかる。でも、現実を見ろ。本当は、俺はこの件を水に流して、お前が普通の生活に戻れるようにしたいんだ。二つの選択肢を与えよう。この警告を無視するか(お前と家族にとって最悪だ)、この問題を永遠に終わらせるために少し金を払うか。この2つの選択肢をよく見てみろ。

一つ目の選択肢は、このメールを無視すること。この道を選んだらどうなるか見てみよう。お前の動画をお前の知り合いに送る。その動画はガチでやばい。同僚、友達、家族がそれを見たときの恥ずかしさは想像もつかないだろう。でも、それが人生ってもんだ、違うか?ここで被害者ぶるなよ。

もう一つの選択肢は、俺に金を払って、この件について黙ることだ。これを俺の「プライバシー料金」と呼ぼう。この選択肢を選んだら何が起こるか教えてやる。お前の汚い秘密は守られる。支払いが済んだら、すべてきれいさっぱり消す。支払いはビットコインだけだ。俺は win-win を目指してるってことを分かってほしい。俺は誠実な人間だ。

送金額:2000ドル

俺のビットコインアドレス:[ビットコインアドレス]

または、(これがお前のビットコインQRコードだ、スキャンしろ): [QRコードの画像]

支払いが済めば、赤ん坊みたいにぐっすり眠れるぜ。俺は約束を守る。

重要:これを解決するのに1日しかない。(このメッセージには特別な仕掛けがあって、お前がこのメールを読んだことが分かるようになってる)。俺のシステムがビットコインの支払いを検知したら、お前に関する汚い情報を全部消す。返信は考えるな、無駄だ。このメールとウォレットはお前専用に作ったもので、追跡不可能だ。俺はミスなんてしない、[名前]。このメールを誰かと共有したり話し合ったりしたことに気づいたら、お前のゴミが即座に知り合いに送られ始める。電話の電源を切ったり、初期化したりするのも考えるな。意味ないからな。

正直、カメラを覆うってネットのアドバイス、思ったほど無駄じゃないな。

考え込むな。これを教訓として、今後は気をつけろよ。

PDF アイコン この手の詐欺で使われるPDFの例[編集済み]

New Email Scam Includes Pictures of Your House. Don’t Fall For It. | Electronic Frontier Foundation

Author: Cooper Quintin / EFF (CC BY 3.0 US)
Publication Date: September 27, 2024
Translation: heatwave_p2p

カテゴリー: Security