「ハッタリだけでボロ儲け」 “恥ずかしい写真”で恐喝、セクストーションスパムの手口（1/3 ページ）

[高橋睦美，ITmedia]

カスペルスキーの大沼千亜希氏

　「あなたの恥ずかしい写真をバラまかれたくなければ、金を支払え」――こんなスパムメールを送りつけ、実際には存在しない性的なコンテンツを公開すると脅して金銭をだまし取ろうとする「セクストーションスパム」と呼ばれる手口が日本でも広がっています。技術的には決して凝った手法ではありませんが、人の心理につけ込むソーシャルエンジニアリングを悪用して被害者を追い詰め、被害は見逃せない規模に拡大しているということです。

　JPCERTコーディネーションセンター（JPCERT/CC）が1月18日に開催した「Japan Security Analyst Conference 2019」で、カスペルスキーの大沼千亜希氏がその手口を解説しました。

「ハッタリ」でボロもうけ

　セクストーションとは、「Sex」（性的な）と「Extortion」（恐喝）を組み合わせた造語で、裸など性的な画像や動画をネタにしたゆすり全般のことです。大沼氏によるとその歴史は古く、米国で1950年代に生まれた言葉でしたが、当時は、紙に焼かれた写真やテープによるものが主流でした。それが21世紀の今では、SNSやチャットで性的なデジタルコンテンツを手に入れ、ゆすりを働くようになっています。

　この数年、スマートフォンを介して実際に何度かやりとりを交わした上で画像や動画を手に入れ、恐喝するケースが海外で報告されていました。ですが大沼氏によると、「今新しく登場しているのは、ソーシャルエンジニアリングを使って『ハッタリ』をきかせるだけでボロもうけする手口だ。実際には高度なマルウェアを用いずとも、『ハッキングによってあなたの性的な姿を録画した。公開されたくなければビットコイン（BTC）で金銭を支払え』というスパムメールを送るだけでサイバー犯罪者が収益を上げている」といいます。

スパムメールの例＝大沼氏の講演資料より

　実際には何も攻撃せず、データを手に入れているわけでもないのに、口先（正確にはメールの文面）だけでユーザーを不安に陥れる手口です。日本国内では長年にわたって、アダルトサイトにアクセスするとしつこく請求画面を表示し、金銭を支払うよう要求してくる「ワンクリック詐欺」の被害が絶えませんでした。高度な技術は使わず、「恥ずかしいので他人に知られたくない」というユーザーの心理につけ込むという意味で、同種の詐欺といえるかもしれません。

　特にセクストーションスパムの被害が目立つようになったのは2018年夏以降で、7〜8月には、英文で送られるスパムメールが増加しました。その後しばらく空白の期間がありましたが、9月後半から、今度はさまざまな国のIPアドレスから、多言語でこの種のスパムメールが観測されるようになったということです。