脅迫メールの正体とその手口

サイバー犯罪は増加の一途をたどっています。企業のデータ侵害からランサムウェア攻撃（被害者が身代金を支払うまでシステムを「ロック」したり、ファイルを暗号化したりする、マルウェア攻撃の一種）、さらには個人的な脅迫メール詐欺に至るまで、サイバー犯罪者はデータとお金を盗む方法を絶えず編み出し続けています。

2020年以降、大規模なデータ侵害が多数発生していますが、その多くは顧客の個人情報を盗まれるというものでした。

2021年に発生したT-Mobileのデータ侵害では4000万人以上のユーザーに影響を及ぼしましたが、そのうちT-Mobileの実際の顧客は4分の1以下でした。

このようなデータ侵害の影響を最も受けることとなるのはユーザーです。理由は簡単で、流出したデータには、メールアドレス、パスワード、携帯番号、支払い情報、住所などユーザーの個人情報が含まれているからです。

そして、その個人情報は、盗んだ情報を脅迫メール詐欺やフィッシング攻撃、クレデンシャルスタッフィング攻撃などに利用するサイバー犯罪者に、アンダーグラウンドフォーラム（闇市場）で売られてしまうことが多いです！

FBI のインターネット犯罪苦情センター（IC3）の報告書によると、ネット上の脅迫は2018年にアメリカだけで51,146件の犯罪が報告され、8300万ドルの損失が発生したことに上昇しました。2019年には、損失が1億700万ドルに上りました。

そこで本記事では、脅迫メールについて詳しく解説し、万が一受信トレイにそのようなメールが届いてしまった場合の対処法をご紹介します。

脅迫メールから身を守るために、TeamPasswordの14日間の無料トライアルをぜひお試しください。

‏‏脅迫メールとは

犯罪者は、脅迫メールを送りつけて人を脅します。彼らは大体、機密情報やコンテンツを持っていると主張し、お金が払われなければ、それを友人や家族に転送すると言って脅すのです！

そのメールには、「（送信者には）あなたのデバイスを追跡するソフトがある」、「あなたがポルノサイトを閲覧したことはわかっている」といった曖昧なことが書かれています。また、「あなたのデバイスのカメラで、あなたの行動は把握している（証拠がある）」などと主張することもあります。

脅迫メールには、データ侵害から盗まれたパスワードなどの個人データが大体含まれています。たとえそのパスワードが古いものであったとしても、個人情報が知らない人の手に渡っていることを知ると、心配になりますよね。もしかしたら、怖くなって彼らの脅し文句を信じてしまうなんてことも考えられます。

セクストーションとは

セクストーションとは、犯罪者があなたのヌードや性的な行為などの露骨なコンテンツを知っていると主張する恐喝の一種です。

また、「アシュレイ・マディソン社（既婚者を対象とするSNS）」のように、露骨な内容ではなく、カムサイト（ライブカメラのサイト）や既婚者向けの出会い系サイトなど、アダルトコンテンツにつながる情報を持つユーザーもいます。

アシュレイ・マディソン社のデータ侵害事件では、犯罪者はユーザーとウェブサイトを結ぶアカウント情報しか持っていませんでしたが、この情報は、被害者の人間関係を壊したり、世間体に影響を及ぼす可能性があります。

セクストーションでは、犯罪者は通常、あなたの行動の実際の証拠を持っており、それを短いクリップやスクリーンショットで共有します。‏‏‎

 ‎一方、脅迫メールは通常、古いパスワードなどの些細な内容を使って、「送信者があなたに関するより不利な内容や情報を持っている」と思わせるようにハッタリをかましたりします。

脅迫メールの例

英語の脅迫メールの多くは、スペルミスや文法ミスが多く、稚拙な文章で書かれており、やや長文で、送信者は自分を権威ある存在に見せかけようとします。

そのメールには、通常、あなたが「有罪」であるにもかかわらず、多くの人に当てはまるような、まるで星占いみたいな曖昧なことが書かれています。

Malwarebytes Labs が被害者から受け取った脅迫メールの例を以下に挙げます。

「私が誰だかわからないでしょう。でも、私はあなたのことなら何でも知っています。前にあなたがアダルトサイトに行ったとき、私のマルウェアがあなたのコンピュータで作動しました。それでウェブカメラが作動してあなたの不適切な映像が記録されてしまったんですよね。 あなたは疑いようもなく特殊な好みを持った人ですね。」

証拠を求める返信をすると、送信者はあなたの連絡先リストにある10人にビデオを送ると脅してきて、メールには、2,000ドルのビットコインを送るべきビットコインアドレスが共有されています。

このメールでは、送信者は受信者に24時間以内に行動するよう促しており、このような圧力だと心配性な人は簡単に反応してしまいます。

脅迫メールが効く理由

グリーンバーグ・グラスター（Greenberg Gluster）法律事務所のパートナーであるプリヤ・ソポリ氏は以下のように述べています。

「我々人間の最も基本的なレベルの心理を利用しているのです。一般的な文言しか書いてなくても、人はそれを自分の個人的な内容に当てはめてしまいます。そして、あなたの情報を色々と握っているハッカーがいて、もしかしたら自分自身で把握しているよりも色々と知っているかもしれないと信じ込んでしまったら、何もやましい事をしていなくても、実際にお金を払う可能性があるのです。」

サイバー犯罪者は、このメールの嘲笑的なトーンによって、どのようなボタンを押せば、ご自身がやってもいないことでさえも恥ずかしく感じることができるか、ちゃんとわかっているのです。

友人や家族にも同じ目で見られるかもしれないという屈辱感から、恥をかかないためにも身代金を払わないといけないという大きなプレッシャーが被害者にのしかかります。

脅迫メールを使う人

ハッカーは通常、データ侵害から得たデータベースをアンダーグラウンドのフォーラムで一番高く出ししてくれる人に売るので、個人情報がどこに行き着くかはわかりません。

ただこのようなデータベースのほとんどは、例えば、未納の税金をすぐに支払わなければ逮捕すると言って脅す国税庁の詐欺のような、似たような詐欺を行う低レベルのサイバー犯罪者に行き着きます。‏‏

脅迫メールへの対処法

どんなに説得力のあるメールであっても、決して送信者に関わったり、返信したりしないでください。やり取りをすると、自分の個人情報が攻撃者に渡ってしまいます。

また、リンクをクリックしたり、添付ファイルを開いたりすることは絶対にしないでください。

ほとんどの国にはサイバー犯罪対策機関があり、アメリカには、FBI にサイバー犯罪を扱う部署があります。「報告したら報復があるぞ」と犯罪者に言われても、すぐに脅迫メールを報告してください。

通常、当局には、脅迫メールを転送できるメールアドレスがありますのでそれを使って送り、警察に送ったら、そのメールを削除してください。

パスワードの変更

次に、そのパスワードを使用しているアカウント（複数可）のパスワードを変更しましょう。安全なパスワードジェネレータを使って、それぞれのアカウントで異なるパスワードを使ってください。

複数のアカウントで同じパスワードの使い回しは絶対に避けなければいけません。もし攻撃者がデータ侵害であなたのパスワードを盗んだら、クレデンシャル・スタッフィング攻撃と呼ばれる方法で、あなたが使っている他のアカウントにも簡単にアクセスされてしまいますよ。

（脅迫メールの）身代金は払うべきか

脅迫メールの身代金を支払っても、問題は解決しません。むしろ、長い目で見ると自分自身の生活を悪化させることになるでしょう。

犯罪者は必ずと言っていいほど、繰り返し金銭を要求してきますし、最悪の場合、あなたの個人情報を「格好のターゲット」として他の犯罪者に売ってしまうでしょう。

攻撃者があなたにとって不利な内容や情報を持っていることが分かっている場合、その問題をどのように処理するか、地元の当局に相談してください。自分で回答したり、交渉したりしないでください。

‏‏会社での脅迫メールの対処法

あまり一般的ではありませんが、脅迫メールは企業もターゲットになり、送信者は同様の詐欺を行って、犯罪者がもっと不利な情報を持っているという「証拠」として会社のパスワードを暴露することがあります。

ほとんどの企業では、かなり強固な迷惑メールのフィルタリングが行われているため、このようなメールが意図した受信トレイに届くことはありません。ただし、企業は適切な対応が必要です。

個人を狙った脅迫メールと同様、企業は絶対に送信者に関わらないようにしましょう! そのメールを当局に報告し、直ちに削除してください。そしてそのメールアドレスを送信者ブロックに追加しましょう。

すぐにパスワードの変更を

特に、複数のアカウントでそのパスワードを使用している場合は、すぐにパスワードの変更が必要です（会社はそのような悪習慣をすぐにやめるべきです）。

TeamPassword のようなパスワードマネージャーを使えば、企業が同じ認証情報を何回も使うのを防ぐことができます。TeamPassword に内蔵されたパスワード生成機能により、大文字、小文字、記号、数字を使用した12～32文字の強力なパスワードを作成することができるのです。

TeamPasswordで会社のパスワードを保護

企業のデジタル資産の保護は、安全なパスワード管理から始まります。企業は、高いセキュリティレベルを維持しながら、同僚とパスワードを共有する必要があります。

TeamPasswordがどのようにお手伝いできるかを以下にご紹介します！

各アカウントにパスワードマネージャー１つ

生のログイン情報を共有する代わりに、クライアント、フリーランサー、請負業者を含む各チームメンバーはTeamPasswordアカウントを取得します。

チームメンバーは、TeamPasswordのブラウザ拡張機能である Chrome、Firefox、Safariのいずれかを使って、SNS アカウントや生産性向上アプリ、マーケティングツール、その他のWeb アプリケーションにログインします。Google Chromeがパスワードを記憶するのと同じような仕組みです。

それならばGoogle Chromeを使えばいいのでは？と思った方もいるのではないでしょうか？

ブラウザに保存されたパスワードは、個人で使うには便利ですが、セキュリティ上の脆弱性が多く、パスワードの安全な共有には適していません。

グループと共有

TeamPassword は共有のために作られており、様々なアカウントやクライアントなど、アクセス権を分散させるためのグループを作成できます。

生の認証情報を共有する代わりに、関連する同僚をそのグループに追加します。この機能により、アクセスを必要な人に限定し、チームメンバーがパスワードを共有するのを防ぎ、不正なログインを防ぐことができます。

アクセスの必要がなくなったチームメンバーがいればワンクリックで外すだけなので、誰かがプロジェクトを離れるたびにパスワードを変更する必要がありません。

2FA（2要素認証）

2FA（2要素認証）は、安全なパスワード管理のための第二の防御線です。攻撃者がチームメンバーの認証情報を盗んだとしても、2FAによってチームパスワードのアカウントにアクセスすることができなくなります。

アクティビティと通知

TeamPasswordのアクティビティログでは、認証情報の共有、新しいアカウントの設定、パスワードの変更など、チームメンバーのログインを監視または確認することができます。

‎また、TeamPasswordでのすべてのアクションに対して即座にメール通知を受け取ることができるので、機密性の高いアカウントやデータを追跡することができます。

早速 TeamPasswordの無料アカウントを取得しよう！

脅迫メール、クレデンシャルスタッフィング攻撃、その他のパスワードの脆弱性の被害に遭わないようにしましょう。皆さんがビジネスの成功に集中できるように、セキュリティはTeamPasswordにぜひお任せください！

14日間の無料トライアルにサインアップし、早速チームメンバーとTeamPasswordをお試しください。