攻撃者は情報を盗み取るだけでなく、それを使い脅迫を仕掛けてくることもある。彼らに共通して見られる手法とは何か。そして、脅迫の被害者になるリスクを軽減するにはどうすればよいのだろうか。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
攻撃者は、他人から金銭を巻き上げる無数の方法を持っている。好んで使われるのは、脅迫だ。米国連邦捜査局(FBI)が発表した最新のインターネット犯罪レポートでは、昨年の米国におけるオンラインでの脅迫被害は、1憶750万ドルに及んだ。
頭に入れておくべきことは、攻撃者は一つの脅迫手法に頼るのではなく、複数の手法を巧みに組み合わせ、被害者に多額の金銭を支払わせたり、場合によっては脅迫の代行を強要したりすることだ。
ランサムウェア
ランサムウェアは世界的に最も知られた脅迫手法であり、企業から政府、個人まであらゆる対象がターゲットとなっている。Eメールやソーシャルメディア、あるいはダイレクトメッセージに含まれる不正なリンクをクリックさせることで、ランサムウェアが被害者のコンピューターに侵入する。
ランサムウェアはコンピューターに侵入後、コンピューター内のファイルを不正に暗号化する。あるいはコンピューターからログアウトさせ、身代金を支払うまでアクセスできないようにする。ファイルの中から機密情報を探し、追加の身代金を支払わなければインターネット上に公開すると脅す、といった新たなランサムウェアが登場している点にも注意したい。これは二重脅迫の一種とも考えられる。
身代金を支払うべきかどうかを悩む前に、感染したランサムウェアの復号ツールが提供されているかを、まず確認してほしい。支払うべきかどうかという疑問に対する答えはいたってシンプルだ。支払ってはならない。ランサムウェアから身を守るための方法は、ESET社の専門家が詳細に解説した以下の記事が参考になる。
ハッキング
見出しのとおりだが、攻撃者はコンピューターやオンライン上のアカウントに侵入し、そこに含まれる機密情報などを盗みだそうとする。ランサムウェアと似ているが、この場合、攻撃者は時間と手間をかけ、手作業で端末へ侵入するのが特徴だ。ただし、端末のパスワードが大規模な情報漏えいに巻き込まれていない限り、その努力は徒労に終わるだろう。残念ながら標的となってしまった被害者には、機密情報の暴露を示唆し、さらに例示によって恐怖を煽りつつ、金銭の支払いを促すような脅迫メールが届くことになる。
このような被害から身を守るためには、コンピューターを暗号化し、複雑なパスワードで全てのアカウントを保護することが重要だ。また、二要素認証を適用することも有効だ。
セクストーション
セクストーションは、性的な写真や動画などの公開をほのめかすことでターゲットを脅す、脅迫の一種である。攻撃者は複数の手法を駆使し、セクストーションを仕掛けてくる。例えば、マッチングアプリでターゲットを見つけ、メッセージをやり取りしながら信頼を獲得する。そして、そのアプリから別のメッセージングサービスへ移るよう促す。これは、マッチングアプリに搭載された詐欺検知の仕組みから回避するためだ。別のメッセージングサービスへ移動した後で、脅迫に使えるような際どい写真や動画を送らせようとする。他の手法としては、ターゲットのコンピューターに侵入してWebカメラを乗っ取り、相手の様子を覗いたり、わいせつな写真を撮ったりするケースもある。ミスティーンUSAにも選ばれたモデルのキャシディ・ウルフ(Cassidy Wolf)も、セクストーションの被害に遭っている。
例えどんな相手であっても、公開されて困るような写真を送るべきではない。これは信頼している相手であっても言えることだ。相手のコンピューターやアカウントから写真が漏えいすることも考えられるし、現在の信頼関係が変わってしまうこともあるからだ。ハッキングのリスクを軽減するためには、コンピューターを最新の状態に保ち、信頼できるセキュリティソフトを導入するのが有効な手立てとなる。
セクストーション詐欺
攻撃者が実際はターゲットの際どい写真や動画を持っていないにもかかわらず、いかにも持っているかのように振る舞い、脅迫を仕掛けてくる場合がある。これらのセクストーション詐欺は高度なものではなく、ポルノサイトで視聴した動画や、視聴している様子をWebカメラで撮影した映像を持っていると脅すEメールがターゲットに送られてくる。これらを公開してほしくなければ、金銭を支払えと強要してくるのだ。
セクストーション詐欺は、これらのスパムメールを選別するスパムフィルターを用いることで対策が可能だ。ESET社のセキュリティ研究者ブルース・バレル(Bruce P. Burrell)は、詐欺メールを見分け、適切に対応するためのアドバイスを記事としてまとめているので参考にしてほしい。
DDoS脅迫
企業へのDDoS(分散型サービス妨害)攻撃は珍しいものではない。攻撃者はDDoS攻撃によってターゲットとなる企業がサービスを継続できないよう仕向ける。攻撃者は収益を得るために、不正なマーケットプレイスを通して、DDoS攻撃をサービスとして他人に提供している。この攻撃では、多数のコンピューターがボットネットと呼ばれるネットワークを構成し、対象の企業やサービスに対し、大量のリクエストを送りつける。それを処理しきれない場合、結果としてサービスが停止してしまう。攻撃者は数日にわたってリクエストを送り続け、場合によっては数十万ドルの被害に及ぶことさえある。例えば、ある悪名高いサイバー犯罪集団が、DDoS攻撃で複数の企業に対して、5万7,000~22万7,000ドル(日本円にして約600万円~約2,400万円)相当のビットコインを支払うよう脅迫した事例もある。
DDoS脅迫からサービスを保護するためには、許可されていないIPアドレスからのアクセスを制限するファイアウォールを設定したり、DDoSの被害を軽減するサービスを利用することも有効だ。
おわりに
サイバー脅迫のターゲットとなるリスクを軽減するためには、いくつかの方法がある。すでに解説したとおりだが、二要素認証を導入したり、セキュリティパッチをあて端末を常に最新の状態にしておくなど、仕事でもプライベートにおいても、基本的なセキュリティ対策を施すべきだ。多くのアカウントにおいて、情報漏えいの元凶となっているパスワードの使い回しを避け、強力なパスワードやパスフレーズを使用し、悪用される可能性のある情報を過度に共有しないよう心掛けてほしい。
