脅迫メールの正体とその手口

サイバー犯罪は増加の一途をたどっています。企業のデータ侵害からランサムウェア攻撃（被害者が身代金を支払うまでシステムを「ロック」したり、ファイルを暗号化したりする、マルウェア攻撃の一種）、さらには個人的な脅迫メール詐欺に至るまで、サイバー犯罪者はデータとお金を盗む方法を絶えず編み出し続けています。

２０２０年には、大規模なデータ侵害が多数発生しましたが、その多くは顧客の個人情報を盗まれるというものでした。

直近では、２０２１年の T-Mobile のデータ侵害が４０００万人以上のユーザーに影響を及ぼしましたが、そのうち T-Mobile の実際の顧客は４分の１以下でした
このようなデータ侵害の影響を最も受けることとなるのはユーザーです。理由は簡単で、流出したデータには、メールアドレス、パスワード、携帯番号、支払い情報、住所などユーザーの個人情報が含まれているからです。

そして、その個人情報は、盗んだ情報を脅迫メール詐欺やフィッシング攻撃、クレデンシャルスタッフィング攻撃などに利用するサイバー犯罪者に、アンダーグラウンドフォーラム（闇市場）で売られてしまうことが多いです！
FBI のインターネット犯罪苦情センター（IC3）の報告書によると、ネット上の脅しは２０１８年に米国だけで５１,１４６件の犯罪が報告され、８３００万ドルの損失が発生したことに上昇しました。２０１９年には、損失が１億７００万ドルに上りました。

そこで本記事では、脅迫メールについて詳しく解説し、万が一受信トレイにそのようなメールが届いてしまった場合の対処法をご紹介します。
脅迫メールから身を守るために、TeamPasswordの１４日間の無料トライアルをぜひお試しください。

‏‏脅迫メールとは

犯罪者は、脅迫メールを送りつけて人を脅します。彼ら大体、機密情報やコンテンツを持っていると主張し、お金が払われなければ、それを友人や家族に転送すると言って脅すのです！

そのメールには、「（送信者には）あなたのデバイスを追跡するソフトがある」とか、「あなたがポルノサイトを閲覧したことはわかっている」という曖昧なことが書かれています。また、「あなたのデバイスのカメラで、あなたがそれを楽しんでいるところが写ってますよ（証拠がある）」とも主張します。

脅迫メールには、データ侵害から盗まれたパスワードなどの個人データが大体含まれています。たとえそのパスワードが古いものであったとしても、個人情報が知らない人の手に渡っていることを知ると、心配になりますよね。もしかしたら、怖くなって彼らの脅し文句を信じてしまうなんてことも考えられます。

セクストーションとは

セクストーションとは、犯罪者があなたのヌードや性的な行為などの露骨なコンテンツを知っていると主張する恐喝の一種です。
また、「アシュレイ・マディソン社（既婚者を対象とするSNS）」のように、露骨な内容ではなく、カムサイト（ライブカメラのサイト）や既婚者向けの出会い系サイトなど、アダルトコンテンツにつながる情報を持つユーザーもいます。

アシュレイ・マディソン社のデータ侵害事件では、犯罪者はユーザーとウェブサイトを結ぶアカウント情報しか持っていませんでしたが、この情報は、被害者の人間関係を壊したり、世間体に影響を及ぼす可能性があります。

アシュレイ・マディソン社のデータ流出侵害事件から５年以上経った今でも、犯罪者はユーザーにセクストーション要求の連絡を入れているのです。

セクストーションでは、犯罪者は通常、あなたの行動の実際の証拠を持っており、それを短いクリップやスクリーンショットで共有します。‏‏‎

 ‎一方、脅迫メールは通常、古いパスワードなどの些細な内容を使って、「送信者があなたに関するより不利な内容や情報を持っている」と思わせるようにハッタリをかましたりします。

脅迫メールの例

英語の脅迫メールの多くは、スペルミスや文法ミスが多く、稚拙な文章で書かれており、やや長文で、送信者は自分を権威ある存在に見せかけようとします。

そのメールには、通常、あなたが「有罪」であるにもかかわらず、多くの人に当てはまるような、まるで星占いみたいな曖昧なことが書かれています。

ただ、あなたに不利な証拠を誰かに握られている場合、最終的にあなたが支払う可能性が高くなるため、その証拠は暴露されてしまう可能性が高いことに注意することが重要です！

Malwarebytes Labs が被害者から受け取った脅迫メールの例を以下に挙げます。

「私が誰だかわからないでしょう。でも私はあなたのことなら何でも知っていますよ...前にあなたがアダルトサイトに行ったとき、私のマルウェアがあなたのコンピュータで作動しちゃって、それでウェブカメラが作動してあなたの不適切な映像が記録されてしまったんですよね。 あなたは疑いようもなく奇妙な好みを持った人ですね（笑）。」

証拠を求める返信をすると、送信者はあなたの連絡先リストにある１０人に適当にビデオを送ると脅してきて、メールには、２,０００ドルのビットコインを送るべきビットコインアドレスが共有されています。

このメールでは、送信者は受信者に２４時間以内に行動するよう促しており、このような圧力だと不安な人にとっては簡単に反応してしまいます。

脅迫メールが効く理由

グリーンバーグ・グラスター法律事務所 のパートナーであるプリヤ・ソポリ氏このように言っています、

「私たちの最も基本的なレベルの心理を利用しているのです。一般的な文言しか書いてなくても、人はそれを自分の個人的な内容に当てはめてしまいます。そして、あなたの情報を色々と握っているハッカーがいて、もしかしたらあなたが自身で把握しているよりも色々と知っているかもしれないと信じ込んでしまったら、何もやましい事をしていなくても、実際にお金を払う可能性があるのです。」

サイバー犯罪者は、このメールの嘲笑的なトーンによって、どのようなボタンを押せば、あなたがやってもいないことでさえも恥ずかしく感じることができるか、ちゃんとわかっているのです。

友人や家族にも同じ目で見られるかもしれないという屈辱感から、恥をかかないためにも身代金を払わないといけないという大きなプレッシャーが被害者にのしかかります。

脅迫メールを使う人

ハッカーは通常、データ侵害から得たデータベースをアンダーグラウンドのフォーラムで一番高く出ししてくれる人に売るので、個人情報がどこに行き着くかはわかりません。

ただこのようなデータベースのほとんどは、例えば、未納の税金をすぐに支払わなければ逮捕すると言って脅す国税庁の詐欺のような、似たような詐欺を行う低レベルのサイバー犯罪者に行き着きます。‏‏

脅迫メールへの対処法

どんなに説得力のあるメールであっても、決して送信者に関わったり、返信したりしないでください。やり取りをすると、あなたに関する情報が攻撃者に渡ってしまいます。

また、リンクをクリックしたり、添付ファイルを開いたりすることは絶対にしないでください。

ほとんどの国にはサイバー犯罪対策機関があり、アメリカには、FBI にサイバー犯罪を扱う部署があります。「報告したら報復があるぞ」と犯罪者に言われても、すぐに脅迫メールを報告してください。

通常、当局には、脅迫メールを転送できるメールアドレスがありますのでそれを使って送り、警察に送ったら、そのメールを削除してください。

パスワードの変更

次に、そのパスワードを使用しているアカウント（複数可）のパスワードを変更しましょう。安全なパスワードジェネレータを使って、それぞれのアカウントで異なるパスワードを使ってください。

複数のアカウントで同じパスワードの使い回しは絶対に避けなければいけません。もし攻撃者がデータ侵害であなたのパスワードを盗んだら、クレデンシャル・スタッフィング攻撃と呼ばれる方法で、あなたが使っている他のアカウントにも簡単にアクセスされてしまいますよ。

（脅迫メールの）身代金は払うべきか

脅迫メールの身代金を支払っても、問題は解決しません。むしろ、長い目で見てあなたの生活は悪化することになるでしょう。

犯罪者は必ずと言っていいほど、あなたに再び金銭を要求してきますし、最悪の場合、あなたの情報を「格好のターゲット」として他の犯罪者に売ってしまうでしょう。

攻撃者があなたにとって不利な内容や情報を持っていることが分かっている場合、その問題をどのように処理するか、地元の当局に相談してください。自分で回答したり、交渉したりしないでください。

‏‏会社での脅迫メールの対処法

あまり一般的ではありませんが、脅迫メールは企業もターゲットになり、送信者は同様の詐欺を行って、犯罪者がもっと不利な情報を持っているという「証拠」として会社のパスワードを暴露することがあります。

ほとんどの企業では、かなり強固な迷惑メールのフィルタリングが行われているため、このようなメールが意図した受信トレイに届くことはありません。ただし、企業は適切な対応が必要です。

個人を狙った脅迫メールと同様、企業は絶対に送信者に関わらないようにしましょう! そのメールを当局に報告し、直ちに削除してください。そしてそのメールアドレスを送信者ブロックに追加しましょう。

すぐにパスワードの変更を

特に、複数のアカウントでそのパスワードを使用している場合は、すぐにパスワードの変更が必要です（会社はそのような悪習慣をすぐにやめるべきです）。

TeamPassword のようなパスワードマネージャーを使えば、企業が同じ認証情報を何回も使うのを防ぐことができます。TeamPassword に内蔵されたパスワード生成機能により、大文字、小文字、記号、数字を使用した１２～３２文字の強力なパスワードを作成することができるのです。

TeamPasswordで会社のパスワードを保護

企業のデジタル資産の保護は、安全なパスワード管理から始まります。企業は、高いセキュリティレベルを維持しながら、同僚とパスワードを共有しないといけないですからね。

TeamPasswordがどのようにお手伝いできるかを以下にご紹介します！

各アカウントにパスワードマネージャー１つ

生のログイン情報を共有する代わりに、クライアント、フリーランサー、請負業者を含む各チームメンバーはTeamPasswordアカウントを取得します。

チームメンバーは、TeamPasswordのブラウザ拡張機能である Chrome、Firefox、Safariのいずれかを使って、SNS アカウントや生産性向上アプリ、マーケティングツール、その他のWeb アプリケーションにログインします。Google Chromeがパスワードを記憶するのと同じような仕組みですね。

なら Google Chrome を使えばいいのでは？と思いましたか？

ブラウザに保存されたパスワードは、個人で使うには便利ですが、セキュリティ上の脆弱性が多く、パスワードの安全な共有には適していません。

グループと共有

TeamPassword は共有のために作られており、様々なアカウントやクライアントなど、アクセス権を分散させるためのグループを作成できます。

生の認証情報を共有する代わりに、関連する同僚をそのグループに追加します。この機能により、アクセスを必要な人に限定し、チームメンバーがパスワードを共有するのを防ぎ、不正なログインを防ぐことができます。

アクセスの必要がなくなったチームメンバーがいればワンクリックで外すだけなので、誰かがプロジェクトを離れるたびにパスワードを変更する必要がありません。

2FA（二要素認証）

2FA（二要素認証）は、安全なパスワード管理のための第二の防御線です。攻撃者がチームメンバーの認証情報を盗んだとしても、2FAによってチームパスワードのアカウントにアクセスすることができなくなります。

活動と通知

TeamPasswordの活動記録（アクティビティログ）では、認証情報の共有、新しいアカウントの設定、パスワードの変更など、チームメンバーのログインを監視または確認することができます。

‎また、TeamPassword でのすべてのアクションに対して即座にメール通知を受け取ることができるので、機密性の高いアカウントやデータを追跡することができます。

早速 TeamPasswordの無料アカウントを取得しよう！

脅迫メール、クレデンシャルスタッフィング攻撃、その他のパスワードの脆弱性の被害に遭わないようにしましょう。皆さんがビジネスの成功に集中できるように、セキュリティは TeamPassword にぜひお任せください！

１４日間の無料トライアルにサインアップし、早速チームメンバーとTeamPasswordをお試しください。