Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

アダルトコンテンツ公開の脅迫

人の脆弱性の1つに”エロ”があるのは今も昔も変わりませんが、その恐喝手法は、SNSが発達しネット上での繋がりが見知らぬ人まで広がったが故に、FBIが注意記事を出すまでに至っています。

www.fbi.gov

恐喝の計画は昔からありますが、ここ数年、詐欺師が被害者の写真やビデオを持っていると言う詐欺が数多く見られます。通常、被害者は自分の名前と、場合によっては個人情報が記載された電子メールを受け取ります。彼は、多くの場合 48 時間以内に支払いを要求するか、彼が持っているとされるあなたの画像をあなたの友人や家族に公開すると脅します

最近、FBI の Internet Crime Complaint Center を通じて、オレゴン人からの恐喝の申し立てが多数寄せられています

 

キタきつねの所感

NiftyやAOLが全盛期の古き良き頃から、この手の恐喝手法はあった気がしますが、SNSやSMSなどメールや電話以外の人が日常的に使う経路が増えた事もあり、恐喝の有効性が高まっているのかと思います。

 

FBIの注意喚起では、(主に)被害者が撮影した写真やビデオが流出したとして脅迫されるリスクを書いているのですが、自分の学生の頃の友人に1人そんな事をやっていたヤツがいたなと思い浮かぶ事はあるのですが、「漏えいすると恥ずかしい写真やビデオ」がそんなに個人のスマホ、PC、iCloudなどの外部クラウド管領域にある人が多いのか・・という所には疑問を感じなくはありません。

 

しかし、2014年に米国社会が大騒ぎになったセレブゲート事件の例もありますので、意外に米国では”普通の事”なのかも知れません。この時はiCloudにバックアップされていた画像(ビデオ)が不正アクセスを受けて大量に流出するという攻撃でした。

※違う見方をすれば「容易に推測できるパスワード」問題だったとも言えます。

ja.wikipedia.org

 

恐喝までは至っておらず単にのぞき見で終わっていますが、日本でもセレブゲート事件と同様な不正アクセス事件はいくつも出ています。

長澤まさみのFacebookを「のぞき見」容疑で男逮捕 不正ログインを防ぐには? | ハフポスト

元SDN48、グラドルらのメールをのぞき見 不正アクセスの岐阜県職員逮捕 - SankeiBiz(サンケイビズ)

パスワード推測し不正アクセス、女性アカウントのぞき見|日本IBM社員を逮捕

 

これらもパスワード問題と言っても良いのかと思いますが、こうした「身に覚えのある」写真やビデオだけでなく、FBIの注意喚起では「身に覚えのない」写真やビデオも恐喝の手法に入っている事に留意が必要です。

詐欺師は、自分が何を証明しているのかを示す文書または写真を添付し​​ます。その添付ファイルには、クリックするとデバイスに感染するマルウェアが読み込まれている可能性があります。

この新しい詐欺師は、警告を無視すると、ランサムウェア攻撃のように、デバイスやソーシャル メディア アカウントへのアクセスをブロックすると脅しています

(FBI注意喚起記事より引用)※機械翻訳

 

アレ、そんな写真を・・・と思って”ミスクリック”する事を狙った添付写真には、マルウェアが仕込まれており、本当に情報が流出する、または端末がロックしてしまう攻撃に繋がってしまう事も考えられるので、日本でも警戒すべき手法かと思います。

 

この手の攻撃では、「日本語がおかしい」事が見分けるポイントの1つとなっています。

ススペルや簡体字(日本で使わない漢字)が使われている事もありますし、英語から直訳した様な機械翻訳の文面など、所謂「日本語の壁」と呼ばれる”怪しい”判別ポイントがまだ有効な事が多いかと思いますが・・・日本語に堪能な協力者(日本人含む)が監修すれば、この壁は一瞬で崩れ去る事には、十分な警戒が必要です。

 

FBIは、自身を守る為に以下の助言を出しています。一般的な内容が多いですが、改めて”エロ”フィッシング対策チェックリストとして活用すると良いかと思います。

・見知らぬ人からのメールや添付ファイルは開かず、迷惑なメッセージを送信する人とは連絡を取らないでください。 
・デリケートな写真や恥ずかしい写真や情報をオンラインやモバイル デバイスに保存しないでください。 
・強力なパスワードを使用し、複数の Web サイトで同じパスワードを使用しないでください。 
・いかなる種類の個人情報も電子メールで決して提供しないでください。個人情報を要求する詐欺メールの多くは、正当なものに見えることに注意してください。 
・ソーシャル メディア アカウントのセキュリティ設定が有効になっていて、それらが最高レベルの保護に設定されていることを確認してください。 
・カメラを覆います。簡単な色付きのテープや付箋が役に立ちます。

 

 

特に書かれていませんが、iCloud等への写真やビデオの自動バックアップをされている方は、多要素認証ログインの有効化やパスワード強化でアカウントの保護をする方が良いかと思います。

また、クラウド”この手のコンテンツ”を保管しておくのが本当に適切なのか、再検討するのが良いかと思います。

 

個人的には、スマホ端末やPC端末からの意図しない情報公開を避ける為、アプリ等に与えているアクセス権限を定期的に(危ないと思ったら)確認する事も、アダルトコンテンツ脅迫に関わらず、オススメしたいポイントです。

Windows10だと設定>プライバシー の辺りです。

f:id:foxcafelate:20210530060723p:plain

ここの項目を、一通りチェックして不要なアプリに情報が開示されてないかを見ると良いかと思います。

f:id:foxcafelate:20210530060827p:plain

 

位置情報、カメラ、マイク、通知(※変なメッセージ表示される可能性があるので、ここも重要な気がします)連絡先、メール辺りは、侵害された際には危ない気がします。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 ぼったくりバーのイラスト

 

更新履歴

  • 2021年5月30日 AM