by Charles Deluvio

2018年7月以降、「あなたのPCをハッキングし、ポルノ視聴時の様子をウェブカメラで盗撮した」という脅迫メールを受け取ったというユーザーの数が急増しています。セキュリティ研究者によると、この詐欺行為による被害額は50万ドル(約5500万円)を超えるそうです。

Sextortion Scam Uses Recipient’s Hacked Passwords - Krebs on Security

https://krebsonsecurity.com/2018/07/sextortion-scam-uses-recipients-hacked-passwords/

Hackers Made Half a Million Dollars Pretending They Watched You Watch Porn - Motherboard

https://motherboard.vice.com/en_us/article/xwk3wq/hackers-sextortion-half-million-blackmail-caught-watching-porn

セキュリティ研究者のBrian Krebs氏は、このハッキング攻撃を「Sextortion」と名付けています。Sextortionの被害者は、PCをハッキングされた証拠として「自身のメールで利用しているパスワード」が書かれたメールを受け取るそうで、同時に「あなたがポルノを見ている様子を録画した」と脅迫され、ムービーを公開されたくなければ1400ドル(約15万円)程度の身代金をビットコインで支払うようにと要求される模様。



Krebs氏が入手したメールの文面には、「私はポルノサイトにマルウェアを置いているので、あなたがポルノサイトを訪問して楽しんでいることを知っています。あなたがポルノを楽しんでいる間、あなたのウェブブラウザはリモートデスクトップとキーロガーとして機能します。そして、ディスプレイとウェブカメラへのアクセスを提供してくれます」と、ユーザーのPCをハッキングした手順を簡単に説明。

さらに、「私は分割動画を作りました。片方にはあなたが見ていたポルノが再生され、もう片方にはウェブカメラであなたを盗撮した様子が記録されており、あなたは厄介なことをしています。さて、あなたは何をするべきでしょうか?私はこの小さな秘密を隠すのに1400ドル(約15万円)を支払うというのは公正だと思います。ビットコイン経由での支払いをよろしくお願いします」と、ポルノを視聴している様子を盗撮したので、インターネット上でバラまかれたくなければ金銭を支払うようにと書かれています。

このメールには丁寧に振込先のビットコインアドレスが記されています。サイバーセキュリティ企業のBanbreachが、Sextortionで使用された約770のビットコインアドレスを監視したところ、約540個では不正な取引が見られなかったものの、残りの230個では1000件を超える取引が確認されており、合計で約70.8BTC(約5000万円)もの支払いが行われていたことが明らかになっています。これらの取引の大半がSextortionの被害者がハッカーに振り込んだ身代金であるとして、BanbreachのSuman KarCEOは、「ハッカーたちは古いパスワードのダンプから、わずかな努力だけで50万ドルもの利益を得ました」と語っています。なお、記事作成時点ではハッカーたちはインド人ユーザーをターゲットにSextortionを行っているとのことです。



by Charles Deluvio

Sextortionの被害者は実際にウェブカメラをハッキングされているわけではありませんが、自分の使っているパスワードを提示されるため、自分のPCがハッキングされたと勘違いしてしまいます。このパスワードをハッカーがどこから入手したのかについて正確な情報は得られていませんが、BanbreachはLinkedInの情報漏洩や、アンチパブリック・コンボリストが情報源になっているのではと推測しています。