いつもどおり日課のメールチェックをしていると怪しいメールが届いていました。
その内容は「メールをハッキングした。あなたのOSをウイルス感染させて監視してきた。その情報を公開されたくなければ仮想通貨BTCを払え。」というもの…。
ツイッターやWEBを見ると同様のメールが流行しているようなので注意喚起を兼ねて記事を書きました。
脅迫メールの内容
以下は脅迫メールのコピペです。
(私のメールアドレス等、一部は塗りつぶしました)
Nこんにちは!
私のニックネームはfernando68です。
私は半年以上前にこのメールボックスをハッキングしました (あなたはこの手紙をあなたから受け取った),
私が作成したウイルス(トロイの木馬)をあなたのオペレーティングシステムに感染させ、あなたを長い間監視してきました。【私のメールアドレス】からのパスワードは【パスワード】でした
その後もパスワードを変更したとしても、それは問題ではありません。私のウイルスはあなたのコンピュータ上のすべてのキャッシングデータを傍受しました
私のために自動的にアクセスを保存しました。私はすべてのあなたのアカウント、ソーシャルネットワーク、電子メール、ブラウジング履歴にアクセスできます。
したがって、私はすべてのあなたの連絡先、あなたのコンピュータからのファイル、写真、ビデオのデータを持っています。私はあなたが時折訪れる親密なコンテンツサイトに最も襲われました。
あなたは非常に野生の想像力を持っている、私はあなたに言う!あなたの喜びと娯楽の間、私はあなたのデバイスのカメラを通して、あなたが見ているものと同期してスクリーンショットを撮りました。
何てことだ! あなたはとても面白くて揺らめいています!私はあなたの連絡先のすべてがこれらのスクリーンショットを取得するのを望まないと思いますよね?
もしあなたが同じ意見を持っていれば、私は871ドルが私が作った汚れを破壊するのにかなり公正な価格だと思います。指定された金額を私のBTCウォレット(Bitcoin)に送ってください: 1EVTLp9Xo73j8TzVCpgwC7q2SX81dE5nMB
上記の金額を受け取るとすぐに、私はデータが削除されることを保証します、私はそれを必要としません。そうしないと、これらのファイルとサイト訪問の履歴があなたのデバイスからすべての連絡先に送信されます。
私はすべてのあなたの電子メールの対応を保存しました! これはあなたの連絡先にも送信されます!あなたがそれを読むとすぐに – 私はそれについて知るでしょう!
あなたは50時間持っています!私はあなたのことを覗き込む多くの仕事をしてきました! あなたはセキュリティを見ない!
実績のあるリソースだけに行き、どこにでもパスワードを入力しないでください!
さようなら!
怪しい日本語がそそりますね。私は非常に野生の想像力を持っているらしいです。
あとは「何てことだ!」が「なんて日だ!」だったらさらに面白かったのですが。
内容を要約すると「OSをウイルス感染させ、メールやSNS等にアクセスして写真やスクリーンショットを盗んだ。公開されたくなければ50時間以内にビットコインを指定のアドレスまで送れ」というものです。
私のESETの記事を読んで頂いた方は気づいたかもしれませんが、ランサムウェアに使われた脅迫送金方法ですね。
内容自体はウソなので落ち着きましょう
「メールアドレスをハッキングしたからあなたのメールアドレスを使ってあなたに届けた」と言っていますが、アドレスを偽装しています。
OSがウイルス感染され、あらゆる写真やスクリーンショットが盗まれたというのもウソです。それに私はデバイスのカメラを使っていません。
しかしこれが脅迫による送金なのか?は不明ですが、振込先アドレスに既に送金が1件だけありました。
脅迫メール・BTCアドレスはこれ以外にもいくつかパターンがあるらしいので、これ以外にも送金がされているかもしれません。
そんなわけでよくある脅迫メールではあったのですが、一点だけ気になることがありました。
本当のパスワードが漏れてる?
その気になった点とはメールに記載されていたパスワードには確かに以前、使っていた心当たりがあったのです。
そのパスワードを使ってたのはおそらく数年以上前です。そしてメールアドレスだけでなく一般サイトで使っているパスワードでもありました。
このことから推測するにおそらく「オンラインゲーム等のWEBサービスサイトでメールアドレスとログインパスワードが漏れた」のではないかと思います。
パスワードに心当たりがあるだけにちょっと驚きますよね。
二段階認証を設定しましょう
今の時代はパスワードを設定しても安心できません。
何らかの方法でパスワードが突破されたら一瞬であらゆる情報が流出するためです。
しっかりと二段階認証(携帯SMSや認証アプリ)を使って最悪パスワードが流出してもログインをストップできるようにしましょう。