トレンドマイクロでは日本語による悪質な詐欺メールの拡散を、9月中旬から継続して確認しています。詐欺メールの本文は複数種ありますが、いずれも「あなたがアダルトサイトへのアクセス時に録画されたビデオを周囲に流布されたくなければ金銭を支払え」という旨の内容であり、不正ファイルの添付や不正サイトへの誘導はない、純然たる詐欺目的のメールとなっています。このメール内容からは、悪質なサイバー犯罪の1つである「Sextortion(セクストーション、性的脅迫)」の手口が思い浮かびます。しかし、これまで確認されてきたセクストーションは出会い系サイト上などで狙われた個人を騙して脅迫する手法なのに対し、この詐欺メールは送信規模などから考えて不特定多数に対するばらまき型の攻撃と考えられます。つまり、セクストーションにおいて手間と時間がかかる行為を省き、メールのみで受信者を脅して金銭を支払わせようとする「簡略版セクストーション」とも呼べる詐欺手口となっています。
図:9月20日に送信された詐欺メールの例
■3万通以上の詐欺メールが拡散
9月中にトレンドマイクロが確認しただけでも、同手口の詐欺メールの大量送信は7回行われています。トレンドマイクロのクラウド型次世代セキュリティ技術基盤「Smart Protection Network(SPN)」の情報を本記事執筆の10月1日時点で確認したところ、最初の送信は9月19日であり、9月30日までの12日間で少なくとも3万通の日本語詐欺メールが拡散したものと考えられます。
詐欺メールの件名としては以下の11種類が確認されていますが、中でも上位4種となる「緊急対応!」、「AVアラート」、「あなたの心の安らぎの問題。」、「すぐにお読みください!」の4種類が使用回数のTOP4となっています。
| 件名 | 割合 |
| 緊急対応! | 17.8% |
| AVアラート | 17.6% |
| あなたの心の安らぎの問題。 | 16.8% |
| すぐにお読みください! | 16.6% |
| セキュリティ警告 | 6.2% |
| 読んだ後に電子メールを削除! | 5.8% |
| アカウントの問題 | 5.7% |
| あなたの秘密の生活 | 5.7% |
| あなたのアカウントは亀裂です | 2.7% |
| 私はあなたのアカウントをハックしている | 2.6% |
| 緊急のメッセージ | 2.6% |
図:今回確認されている詐欺メールの件名とその使用割合
また送信元メールアドレス(From:)を受信者のメールアドレスで偽装していることもこの詐欺メールの特徴として挙げられます。例として、以下の25日に確認された詐欺メールでは、「私はあなたのアカウントをハッキングし、そこからメールを送りました」との文言で受信者の誤解を誘導しています。
図:9月25日に送信された詐欺メールの例
受信者のアドレスを送信元アドレスの偽装に使用する手口は以前から存在していますが、このようにメールアカウントのハッキングを受信者に信じさせる手法として使うのは新しい手口と言えます。
また、受信者にメールの内容を信じさせる手口としてはもう1つ、本文内にメールアカウントのパスワードを記載するという手法も確認されています。トレンドマイクロへの調査依頼事例の中では、上記のメール本文に
「今私はあなたのアカウントにアクセスできます!
たとえば、<受信者のメールアドレス>のパスワードは<パスワードの文字列>です」
という一文が追加されている事例が確認されています。トレンドマイクロの調査の中では、記載されていた文字列は使用しているパスワードと同一であったという報告や、別のWebサイトなどで使用していたパスワードである可能性があるなどの報告を確認しています。
図:本文中にアカウントのパスワードが記載されている詐欺メールの例
トレンドマイクロでは9月27日以降に実サンプルを確認している
■既に250万円相当のビットコインを詐取?
この詐欺メールの最終目的は金銭です。要求金額はなぜか一定ではなく、トレンドマイクロが確認した範囲では$550から$700相当を仮想通貨のビットコインで支払うことが要求されていました。今回の詐欺メールでビットコインの支払先として指定されているビットコインアドレスを、トレンドマイクロでは8件確認しています。この8件のビットコインアドレスにおけるトランザクションを、本記事執筆中の10月1日時点で確認したところ、すべてのアドレスを併せて全部で46件のトランザクションがあり、合計約3.4BTC(日本円で250万円相当)の入金が確認できました。これらのトランザクションについては最も古いものでも9月19日であり、詐欺メールの開始時点と符号します。また確認時点で最新のトランザクションは9月29日でした。これらのトランザクションがすべて詐欺メール関連のものかどうかは断定できませんが、トランザクションを細かく見ていくと、ビットコインアドレスを指定した詐欺メール内で要求している金額前後の入金が複数回発生していることがわかります。このようなトランザクションの状況状況からは、複数の受信者が要求通りの金額を支払ってしまっている可能性が推測されます。
図:9月28日に送信された詐欺メールの例
$550を指定したビットコインアドレスに送ることを要求している
図 5:上図の詐欺メールで指定されたビットコインアドレスでのトランザクションの一部(www.blockchain.com から引用)
詐欺メール内で指定している$550前後の入金が複数のアドレスから行われていることがわかる
トレンドマイクロでは、今回の「簡略版セクストーション」を既に世界各国で確認しており、英語を始めとして、アラビア語、ドイツ語、フランス語、イタリア語、ハングル語などの詐欺メールを確認しています。今回の日本語を使用した詐欺メールの攻撃も、サイバー犯罪者が攻撃対象を各国語に拡大していく中で、日本もその対象となったものと考えられます。
金銭利益を目的とするサイバー犯罪者は、より効率の良く利益を上げられる攻撃方法を模索しています。詐欺メール内で指定されたビットコインアドレスのトランザクションから推測すると、日本だけでも250万円相当のビットコインが12日間で詐取された可能性があります。一度利益が得られることが判明した攻撃手口は、何度も繰り返される可能性が高くなります。今回の詐欺メールの送信は10月に入ってもまだ継続しており、今後も注意が必要です。
■被害に遭わないためには
今回紹介したような人間を騙すネット上の「詐欺」に関しては、実社会における「振り込め詐欺」と同様に、その手口を知り騙されないようにすることが対策の1つとなります。常に最新の脅威情報を入手し、対策に役立ててください。また、詐欺の発端となる不審なメールを可能な限りフィルタリングし、手元に届かないようにする対策の導入も重要です。
■トレンドマイクロの対策
トレンドマイクロ製品では本記事で取り上げた詐欺メールを、「E-mailレピュテーション(ERS)」技術で受信前にブロックします。個人向けセキュリティ対策製品「ウイルスバスタークラウド」や、「ウイルスバスターコーポレートエディション」、「ウイルスバスタービジネスセキュリティサービス」などの法人向けエンドポイント製品では、ERSの技術により利用者を詐欺メールから保護します。また、「InterScan Messaging Security Virtual Appliance」、「Trend Micro Hosted Email Security」、「Cloud Edge」などの法人向けゲートウェイ製品では、特にERS技術により詐欺メールを着信前にブロックします。
※調査協力:日本リージョナルトレンドラボ(RTL)
