600人にひとりが被害に遭っているという数字は、サイバー犯罪の中でもかなり高い ※写真はイメージです
〈こんにちは! 私はあなたのPCをハッキングしました。あなたがアダルトサイトを閲覧するとPCのフロントカメラが起動。あなたの自慰行為を撮影し、私はその記録を得ています。48時間以内にビットコインで550ドルを送ってください。送金されない場合は家族や同僚に流布します〉
このような内容の"脅迫メール"を受け取る人が今年9月以降に急増。実際にビットコインを送金する被害が多発している。
情報セキュリティ会社のトレンドマイクロによると、10月末時点での被害額は約1240万円相当に上る。同社のセキュリティエバンジェリスト、岡本勝之氏がこう話す。
「この脅迫メールは7月頃から英語、アラビア語、ドイツ語、ハングルなどの外国語版が海外で拡散。日本語版は9月19日に最初の送信が確認され、10月末までに国内で8万通以上が拡散しました。メールはいずれも『アダルトサイトの閲覧姿を流布されたくなければ金銭を払え』という内容ですが、不正ファイルの添付や不正サイトへの誘導はない。つまり、ウイルスを仕掛けるなどではなく、純然たる金銭目的の詐欺メールだと思われます」
もちろん「ハッキングした」というのも、「自慰行為を撮影した」というのもウソ。しかし、メール受信者のなかに騙(だま)されてしまう人が続出している。
「9月中に送信された約3万通のメールのうち、攻撃者にビットコインが送金されたのは約50件です」(岡本氏)
600人にひとりが被害に遭うという"成功率"は、数あるサイバー犯罪のなかでも比較的高いほうだという。なぜ、被害者は詐欺メールに騙されてしまうのか?
「メール本文には、ハッキングしたと信用させるために、受信者のメールアカウントのパスワードを記載するという手法がとられています。その文字列は『実際に使用しているパスワードと同一だった』という報告もあり、それを突きつけられた受信者は『情報を盗まれているのでは!?』と信じ込んでしまう」(岡本氏)
本人しか知りえないパスワードを、なぜ犯人が......?
「ネット上では過去に何度も個人の認証情報が漏洩(ろうえい)する事故が起きています。実は、その蓄積で数億件ともいわれるメールアドレスとパスワードがセットで流出し、ネット上に出回っている状況がある。攻撃者はこれを悪用していると思われます」(岡本氏)
だが、摘発に動く警察は今、頭を悩ませているという。金銭の受け渡しに仮想通貨が利用されているためだ。
「攻撃者はメールに、銀行口座の口座番号に相当するビットコインアドレスを記載し、そこにビットコインを送金するよう指示しています。ただ、ビットコインは銀行口座と違い、氏名や住所といった個人情報を知らせることなくアドレスを開設できる。そこから攻撃者を特定するのは困難といえます」(岡本氏)
ビットコインを現金に換金する際は、取引所などで本人確認が必須となるが、それでも特定は難しい。
「ビットコインアドレスはひとりで何個でも作れるのが実情です。攻撃者側は数千、数万というアドレスを作り、集金したビットコインを分散しながら転送。追跡が困難になったところで現金化する手口を確立しています」(岡本氏)
攻撃者は現在も大量の脅迫メールを送り続けている。
「被害に遭わないためにはまず、その手口を知ること。不審なメールが届かないよう、フィルタリングをかけておくことも大切です」(岡本氏)