ある友人から数週間前に、受け取ったメールについて聞きたいことがあると連絡を受けました。その電子メールは、コンピュータを乗っ取り、Web カメラを使って他人に見られては困るような画像を録画したと主張するハッカーからのもので、1,900 米ドル相当のビットコインを送金しなければ、そのビデオを知り合いにばらまくと脅すものでした。そのメールには、信憑性を裏付けるために、受け取った本人の実際の（ただし、古い）パスワードも書かれていました。メールの主張のいくつかは、受け取った本人と完全には一致しないものではあるものの、困惑と怒りに陥れるのに十分な説得力のあるものでした。今日のビデオでは、セクストーションと呼ばれる、この種の詐欺スパムの詳細と、今回のメールに見られたような偽の主張を恐れる必要がない理由をお話しています。

エピソードビデオの長さ： 4:31

YouTube へのダイレクトリンク：https://www.youtube.com/watch?v=-wPw55kEgPU

From: Apostolos Lyng
To: Anonymous Victim

Subject: 名前 – [実際のパスワード],
Date: Tue, 10 Jul 2018

[実際のパスワード]は貴殿のパスワードということで間違いないでしょうか。知らない相手からの突然のメールに驚かれたかもしれません。

実は、私がマルウェアを仕掛けたアダルトビデオのサイトに貴殿がアクセスし、ビデオを存分に楽しまれたことが確認されました（どういう意味か、おわかりのことと思います）。ビデオクリップの視聴中にインターネットブラウザが RDP（リモートコントロールデスクトップ）として起動され、キーロガーによって、貴殿の画面と Web カメラにこちらからアクセスできる状態になりました。そして、その直後にソフトウェアプログラムが起動し、貴殿のメッセンジャー、Facebook、電子メールから連絡先全件を収集させていただいたという次第です。

さて、早速本題に入ることにしましょう。

2 つの画面を録画したビデオを作成しました。最初の部分は貴殿が存分に楽しまれたビデオ、次の部分にはそちらの Web カメラで録画された画像です。

貴殿が取るべき行動をお知らせします。

1,900 ドルは、このちょっとした秘密を守るためと考えれば、かなり妥当な金額だと思います。ビットコインで支払いを受け付けます（ご存知なければ、Google で「ビットコインの購入方法」を検索してください）。

BTC アドレス：1JHwenDp9A98XdjfYkHKyiE3R99Q72K9X4（大文字と小文字が区別されるため、コピー & ペーストしてください）
注：

支払いの猶予期間は 1 日です（このメッセージに埋め込まれたピクセルによって、既読が通知されるようになっています）。ビットコインの入金を確認できない場合、連絡先に登録されている友人、家族、同僚を含む全員に上記のビデオが間違いなく送信されます。ただし、入金が確認されれば、上記のビデオをすぐに削除します。証拠を示せというのであれば、このメールに「Yes!」と返信してみてください。連絡先の中から 7 件にビデオが送信されます。この件について交渉の余地はありません。お互いの時間を無駄にしないためにも、このメッセージに速やかに返信されることをお勧めします。

• ご紹介したすべてのセクストーションメールが説明されている、Reddit の投稿記事 – Reddit
• 盗んだパスワードを使った恐喝メールに関する記事 – Tech Dirt
• Krebs 氏によるセクストーション詐欺に関する記事 – Krebs on Security

－ Corey Nachreiner, CISSP （@SecAdept）