セキュリティ 技術者が考えてみた

本物パスワードが漏洩+脅迫メールが来たので対処した話

もう去年の話なんですが、自分の本物パスワードが漏洩するという怖い目に遭遇しました。

私はIT技術者なので、多少知識があるとはいえ本物の情報漏洩はさすがにビビります・・・。

事の顛末としては、どこかでメルアドとパスワード(本物)がセットで漏洩したらしく、それをネタに仮想通貨を要求する脅迫メールが突然来た、という感じです。

自分のセキュリティ意識が低い時代に作ったものだったので、パスワードが単純だったことも災いしました。

大昔に作って存在すら忘れかけていたアドレスで、アカウント整理中にたまたま確認したら発覚。

セキュリティ上の注意喚起という意味で経験をシェアさせていただきます。

突然の英文脅迫メールを受信


内容としては、以下のサイトに載っているモノとそっくりでした。(微妙に違うけど)

仮想通貨を要求する不審な脅迫メールについて - JPCERTコーディネーションセンター
https://www.jpcert.or.jp/newsflash/2018080201.html

私に来たメールのザックリした内容の和訳は以下のような感じ。

ちなみに3か月くらい後で似た内容の日本語メールも来ました。


差出人:
被害に遭った自分のメルアド

題名:
あなたのパスワードは〇〇〇ですね?

本文:
私はあなたのメールのパスワードを知っている。
その証拠にアナタのメールアドレスを使ってこのメールを送っている。
他のサービスでも流用しているだろう。

私はポルノ動画サイトにマルウェアを仕込むことで、あなたがどの動画やサイトを閲覧したかわかっている。
リモートデスクトップやキーロガー、ウェブカメラなどから情報を収集した。
あなたが見ていた動画とWebカメラで撮影したあなたの様子を組み合わせた動画も作っている。

アナタには2つの選択肢がある。
1つめは無視することだ。
その場合は、作成した動画を登録された連絡先のすべてに送信する。
このメールを通じて、あなたのオペレーティング システムに悪意のあるコードをアップロードし、友人、同僚、親戚との連絡先、およびインターネット リソースへのアクセスの完全な履歴をすべて保存した。
2つ目は私に〇〇ドルを支払うことだ。(→ いくらだったか忘れた)
そうすれば、動画は削除する。
支払いはビットコインで行うこと。
BTCアドレスは〇〇〇。

もし警察に通報しても、このメールからは私にたどり着くことはできない。
このメールは特定の透明画像を埋め込むことで追跡しているから、あなたがメールをいつ開封したことは確認できる。
メール開封から48時間以内に対処すること。

交渉の余地はない。お互いに時間を無駄にしないようにしよう。

・・・メール自体は迷惑メールフィルタにかけて削除しまったので、細かいところはうろ覚えなのですがだいたいこんな感じでした。

添付ファイルの類はなかったです。

安全な対処方法


あとから理由は説明しますが、犯人が知っているのはメールアドレスとパスワードの組み合わせのみで他の情報は持っていない可能性が極めて高いです。

そもそも手持ちのパスワード情報がすぐに悪用できるなら脅迫せずにいきなり犯行に及んだ方が、被害者側の対策が遅れて犯人にとっては都合がいいはずです。

例えばネット銀行からお金を引き出すとか。

脅迫することで怖がらせてお金をだまし取るのが目的なので、返信してはいけませんし支払いも実行してはいけません。無視しましょう。

しかしながら、パスワードは確実に流出しています。(私の場合はSNSアカウントがパスワード流出の疑いで一時停止されてたので、たぶんそれ。)

流出したメールアドレスのパスワードはもちろんのこと、もしパスワードを他のサービスでも流用してしまっている場合は全て速やかに変更してください。

特に流出したメールアドレスを使ってログインしているシステムのパスワードは早急に変更してください。

メールと同じパスワードを使っていたりすると簡単に推測できてしまうため、放置していると不正ログインにより悪用される恐れがあります。

また、添付ファイルがある場合は絶対に開かないでください。

もし誤って開いてしまった場合は、無線LANのアダプタを無効化・LANケーブルを物理的に引き抜いて、すぐにセキュリティ対策ソフトでフルスキャンを実行してください。

ネットワーク経由で周囲に被害を拡散しないためです。

端末はネットワークから切り離したうえで、可能であれば工場出荷前状態に丸ごとリセットしてしまうのが確実です。

なお、国内の報告事例・注意喚起としてIPA(独立行政法人情報処理推進機構)も情報を公開しています。

非常に有益ですので併せてご確認ください。

性的な映像をばらまくと恐喝し、仮想通貨で金銭を要求する迷惑メールに注意 - 独立行政法人情報処理推進機構
https://www.ipa.go.jp/security/anshin/mgdayori20181010.html

本手口に関して、現在でもIPAに対して多数の相談が寄せられておりますが、支払いに応じなかったために映像等がばらまかれたなどの事例は1件も確認されていません。騙されないようにしてください。

メール内容を検証する


対処方法を考えるにあたって、メールの脅迫内容がどこまで本当かということは気になります。

そして、犯人がどこまで情報を持っているかという点も。

そこで技術的な観点からメールを検証してみました。

脅迫メールは本当に自分のアドレスから送られているのか?

実は、受信したメールにある差出人として表示されているアドレスは簡単に偽装することが可能です。

郵便物に例えると、宛先の誤りなどで郵便物が届けられないときに備えて、差出人の住所を宛名の反対側に書きますよね?

その差出人の住所は適当に書いても宛先さえ正しければ郵便物自体は届いてしまうわけですが、それと同じことが起きてます。

メールの仕様上、差出人欄は自由に書き換えることが可能です。

よって、被害に遭った自分のアドレスが差出人になっていても自分のアドレスから送信された直接の証拠にはなりません。

実際は詐欺の犯人が、流出したメールリストを使って一斉送信している可能性が高いです。

犯人は本当にメールの開封を認識できているのか?

メールのコードを確認した結果、開封を検知できる仕組みはなかったのでタイミングの認識も不可能と思われます。

脅迫メールの中で言及されているように、小さな透明画像へのリンクを埋め込んで追跡する手法は存在します。

これはWebマーケティング手法(Webビーコン)の一種で、一般企業でも使用されている技術であり基本的には無害です。

仕組みとしては、まずメール送信元の相手は透明画像を分析用のサーバーに配置しておきます。

その後、受信者がメールを開くと透明画像を表示するためにサーバーへアクセスを行うため、メール開封時刻や誰が開けたかを特定できます。

しかし、最近のメールソフトはプライバシーを守るためにメール内の埋め込み画像をデフォルトでは表示しないようにしていることが多いし、警告が出ます。

私のメールソフトもそのような設定になっていましたが、脅迫メールでは警告が表示されませんでした。

さらに実際にメールのソースコード自体も確認しましたが、メール本文はテキスト形式となっており画像は埋め込まれていませんでした。

また少し専門的になりますが、メールソフトからメール自体のコードを確認し、メールヘッダーと呼ばれる領域の「Content-Type」という部分を確認します。

脅迫メールは「text/plain;」となっていたので、内容として文字のみで構成されたメールであることがわかります。悪意のあるプログラムも含められません。

これが、画像や悪意のあるコードを含められる形式だと「multipart/related;」とか「type="multipart/alternative";」となっている必要があります。

また、仮に悪意のあるコードが含められる形式であっても中身を分析したら文字と装飾の指定だけだったりします。(あとから来た日本語の脅迫メールはそんな感じ。)

よって、犯人はメールの開封を検知することはできないと考えられます。

犯人は本当にPC画面やカメラの盗撮に成功しているのか?

結論から言えば、可能性としてゼロではないけれども今回の件では大丈夫といったところです。

先ほど述べた通りメール自体が単なるテキストメールであり、添付ファイルもありませんでした。

よって、メールに悪意のあるコードが埋め込まれているという情報自体がウソということになります。

仮に、コードが埋め込まれていたとしても大半のメールクライアントはブロックしてしまうため実行すらできません。

とはいえ、可能性がゼロではないといったのは、実のところメールから端末内の情報を盗み取る手法というのは存在するからです。

Webページと同様の形式で構成された添付ファイル(HTML)に悪意のあるコード(Javascript)を埋め込んで、ウィルスを配置したサーバーにアクセスさせるというものです。

この手法で感染させられるウィルスはトロイの木馬と呼ばれるものです。

脅迫メールで仄めかされているように、端末カメラを盗撮するトロイの木馬も実在します。

ちなみに、私の場合は普段からPCもスマホもカメラは物理的にテープでふさぐか、使用中以外は物理的に接続しないようにしています。

それに加えて、セキュリティ対策ソフトがカメラの挙動を監視するようにしています。

私はAndroid技術者なのでわかるのですが、スマホのインカメラで盗撮して撮影画像を外部に送信するプログラムを作成することは十分に可能です。

ストアの場合は審査があるので弾かれる可能性はありますが、審査で漏れてユーザーがカメラ権限を通してしまえば終わりです。

なので、ストア外で配布されるカメラアプリとか、カメラが不要なのにカメラの権限を要求してくるアプリがあったら怖くて使えないですね。

少し余談でした。

なお、脅迫メールで言及されているように仮にアダルトサイトから情報が漏れていた場合、犯人の目的はメールアカウントではなくアダルトサイトのログイン情報そのものです。

ダークウェブという通常の手段ではアクセスできない匿名のネットワーク上で、アダルトサイトのログイン情報が金銭により取引されているそうです。

ある日突然、お金を払っているサイトのアカウントが乗っ取られてログインできなくなるといった現象があれば確実に被害に遭っていますが、そうでなければメールアカウントの脅迫とは直接の関係はないでしょう。

アダルトサイトのログイン情報を盗むトロイの木馬 - Kaspersky daily
https://blog.kaspersky.co.jp/trojans-steal-porn-site-accounts/22634/

Threats to users of adult websites in 2018 - SECURELIST by Kaspersky
https://securelist.com/threats-to-users-of-adult-websites-in-2018/89634/

まとめ


以上、私が実際に遭遇したネット詐欺の事例について紹介しましたがいかがだったでしょうか。

頻度として決して多くはないと思いますが、こういう危ない事例は突然やってきます。

適切な知識を持っていないとパニックになるかもしれませんが、落ち着いて対処してください。

あまりにも情報が具体的な場合は、ピンポイントで狙われている可能性もあります。

今回、私に来たメールは英文だったので日本人は引っかかりにくいと思いますが、あとから似たような内容の日本語メールも来ました。

また紹介しようかと思いますが、注意が必要です。

パスワードを設定する場合は、可能なら大文字・小文字・数字・記号を混ぜて最低でも8文字以上を目安に設定されることをオススメします。

パスワード流出に備えて、同じパスワードを複数のサービスで流用しないことも重要。定期的に変えることも有効です。

実被害が想定される場合は、各都道府県警察本部のサイバー犯罪相談窓口に相談されることをオススメします。

各都道府県警察のサイバー犯罪相談窓口 - 警察庁
https://www.npa.go.jp/cyber/soudan.html

以上、お役に立てれば嬉しいです。

※写真:フリー写真素材ぱくたそ

-セキュリティ, 技術者が考えてみた

© 2021 楽々PCライフ