Categories: 脅威リサーチ

セクストーション詐欺の分析

今年の 7 月以降、セクストーション(性的な脅迫)型の攻撃がインターネットで急激に拡大しており、Cisco Talos ではこの数ヵ月間、こうしたキャンペーンを調査しています。多くの場合、スパム送信者は、公開されている漏えい情報からメール アドレスとパスワードを取得し、セクストーション攻撃に悪用しています。セクストーション攻撃では、要求金額が指定日時までに支払われない限り性的なビデオを配布するとメールで脅迫されます(ただし実際には、他人に見られては困る被害者のビデオなど入手していません)。メールでは、支払いの要求とともに受信者のパスワードも記載することで、他人に見られては困る被害者のビデオを持っていることをいかにも本当らしく見せています。この数ヵ月間、こうした攻撃が猛威を振るうなか、Talos はキャンペーンを詳細に調べ、実体のない脅迫であるにもかかわらず被害者が多額のビットコインを送信してしまう原因を解明しようと考えました。そこでセクストーション攻撃の一部を詳細に調査した結果、その手口についての分析情報を得ることができました。

本文の文言をわずかに変更したセクストーション メールの例

 

セクストーション キャンペーンの分析

Talos では、セクストーション詐欺に対する理解を深めるために、非常によく似た 2 件のセクストーション攻撃からメッセージを抽出および分析しました。分析した 1 件目のスパム キャンペーンは 2018 年 8 月 30 日に、2 件目のキャンペーンは同年 10 月 5 日に始まっており、両キャンペーンは、このブログの執筆時点でも活動を継続中です。

Talos は各キャンペーンから送信されたメッセージをすべて抽出しました。これらのスパム メッセージは、SpamCop が 2018 年 8 月 30 日から同年 10 月 26 日までの間に受信した、58 日分に相当します。各キャンペーンの中で送信されたメールの From ヘッダーはどれも、次の正規表現のいずれかに一致しています。

From =~ /Aaron\d{3}Smith@yahoo\.jp/
From =~ /Aaron@Smith\d{3}\.edu/

キャンペーンの合計

SpamCop は、こうした「Aaron Smith」キャンペーンに関するセクストーション メールを合計 233,236 通受信しました。メッセージの送信元は、137,606 の一意の IP アドレスで、その大部分にあたる 120,659(87.7 %)もの送信元 IP アドレスから、このキャンペーンに関する最大 2 通のメッセージが送信されています。

約 60 日間で SpamCop が受信したセクストーション メールの数

 

送信元 IP は多くの国に分布していますが、セクストーション メッセージの約 50 % が、わずか 5 ヵ国、具体的には、ベトナム(15.9 %)、ロシア(15.7 %)、インド(8.5 %)、インドネシア(4.9 %)、カザフスタン(4.7 %)から送信されています。このなかでよく知られている国と言えばインドとベトナムで、以前、これらの国に Necurs ボットネットに感染した大量のマシンがあることが判明しました。Necurs ボットネットは多数のマルウェアの配布元として広く認知されています。

送信者 IP アドレスの国別の分布

 

こうしたキャンペーンで 233,000 通以上のメールが送信されているにもかかわらず、メッセージを受信しているのは、15,826 というごく少数の一意のメール アドレスであることが明らかになりました。つまり、受信者 1 人あたり平均 15 通のセクストーション スパム メッセージが送信されたことになります。今回のデータでは、驚くことに 354 回もメールを受信した不運な被害者もいました。

支払いの要求

どのセクストーション スパムでも支払いが要求されています。要求金額はキャンペーンによって異なりますが、この例では、ランダムに生成された数字 1 ~ 7 にゼロ 3 つを追加した金額(1,000 ~ 7,000 ドル)が要求されていました。この 6 種類の支払金額がメール全体でほぼ同じ頻度で現れており、これは、要求額が被害者ごとにまったく調整されていないことを示唆しています。

暗号通貨のウォレット

支払いの要求に加え、各セクストーション メッセージには、被害者から支払いを受けるためのビットコイン(BTC)ウォレットのアドレスも記載されています。Talos は、今回の 2 つのスパム キャンペーンに関連して、合計 58,611 の一意のビットコイン ウォレット アドレスを特定しました。つまり、各ビットコイン ウォレットが、平均 4 通のセクストーション メッセージに使用されたことになります。約 58,000 のビットコイン ウォレット中、83 のウォレットの残高のみがプラスになっています。ところが、これらの 83 ウォレットの残高合計は、146,380.31 ドルに相当する 23.3653711 ビットコインにも上ります。攻撃者はこの特定の詐欺メールを約 60 日間ただ配布していたと考えられます。しかも、他人に見られては困るような被害者の映像を実際には持っていないのです。

約 60 日間を通して、一意のビットコイン ウォレットと、被害者の一意のメール アドレスの数を観察すると、継続中のキャンペーンに新しい情報が定期的に投入されていることがわかります。一意のビットコイン ウォレットの数はピークに達した後、時間とともに減少しますが、その後すぐに、新しく用意された一連のビットコイン ウォレットによって、最大になります。大量の新しいウォレット アドレスが最後に投入されたのは 10 月 9 日です。一意の受信者についても同じことが言え、10 月 9 日頃に大量の新しい受信者が取り込まれています。

一意のまたは重複するビットコイン ウォレットと受信者のメール アドレスの比較

 

予想に反して、残高がプラスになっているビットコイン ウォレットの詳細を個別に調べたところ、ウォレットへの支払金額に奇妙な点がありました。いくつかのウォレットに、このキャンペーンの一環として要求された最小の 1,000 ドルをはるかに下回る金額が支払われていたのです。変動するビットコイン価格をもとに論理的に説明できる範囲からも大きく外れるほど低い金額でした。

Aaron Smith セクストーション スパムで見つかったビットコイン ウォレット。最小の要求額である 1,000 ドルよりはるかに少ない金額を示している。

 

また、この攻撃で使用されたウォレットの一部がその他の攻撃でも使用されていることが明らかになりました。攻撃者は、一部のビットコイン ウォレット アドレスをさまざまなスパム キャンペーンで再利用していたのです。

そこで、ビットコイン ウォレットの再利用の観点から調査するため、調査対象を、本文に「ビットコイン」の記述と 26 ~ 35 文字のビットコイン ウォレット アドレスを含むメールに拡大することにしました。

個人情報の悪用方法

Talos が発見した、セクストーションに関する最初のキャンペーンの 1 つでは、漏えいしたパスワードではなく被害者の電話番号が悪用されていました。電話番号は、パスワードほどプライベートな情報でも機密情報でもありませんが、個人的なものと言えるはずです。そうした電話番号を含めることで、セクストーション詐欺の内容をいかにも本物らしく見せかけています。

被害者の電話番号を悪用したセクストーション攻撃の例

 

このメッセージをよく読むと、その大部分が、Talos が先に分析した「Aaron Smith」キャンペーンのメールと実質的に同じであることがわかります。特に結びの段落にそれが表れています。

SpamCop を検索するなかで、Talos は 実際に、攻撃者が誤って公開したと思われるテンプレートを発見しました。そのテンプレートは、セクストーション スパム攻撃に使うさまざまなメール本文を、展開に合わせて自由に作成できるようになっています。

攻撃者が誤って送信したセクストーション テンプレートのメッセージの例

国際化するセクストーション

最近、IBM X-Force のセキュリティ研究者が、2018 年 9 月後半に Necurs ボットネット インフラストラクチャを通じて送信されたとされるセクストーション キャンペーンを発見 しました。IBM 社の侵害インディケーター(IOC)から得た 20 のビットコイン ウォレットを使用して、Talos は、「Aaron Smith」スパムと、IBM X-Force によって Necurs ボットネットに関連があるとされている国際的なセクストーション スパムを送信している、1,000 近くの異なる IP アドレスを特定しました。同じ IP インフラストラクチャが送信に使用されていることから、こうしたセクストーション キャンペーンの背後には間違いなく、同じスパム送信者グループがいると考えられます。

X-Force のブログで特定されている「7 つの言語(英語、ドイツ語、フランス語、イタリア語、日本語、韓国語、アラビア語)」のセクストーション スパムのほか、Talos は、チェコ語、スペイン語、ノルウェー語、スウェーデン語、フィンランド語で書かれたその他のバリエーションを明らかにしました。

スペイン語で書かれたセクストーション メッセージの例

 

その他の攻撃のバリエーション

その他にも、同じく Necurs を送信元 IP とするインフラストラクチャから送信された類似のセクストーション スパムが明らかになりました。サポート チケットを装ったセクストーション スパム メールの例を以下に示します。信憑性を高めるために、メッセージの冒頭に「Camera Ready, Notification: <date>(カメラ対応の通知:<日付>)」とも記述されています。

「チケット」を装ったセクストーション メールの例

 

完全に同じビットコイン ウォレットが、まったく異なる種類のビットコイン関連メール詐欺にも使用されていました。上記の「チケット」にある BTC ウォレット、1HJbQG3NsDGqqnnF1cU2c1Cgj1BT65TYRy が、性的なビデオの対価としてビットコインを要求する詐欺メールにも記載されています。このアダルト ビデオの詐欺では、攻撃者がロシア連邦の少女を装い、ビットコイン ウォレットへの 100 ドルの送金と引き換えにカスタマイズした性的なビデオを送ると約束しています。

性的なビデオの対価としてビットコインを要求するメッセージに、重複したセクストーション用ビットコイン ウォレットが使用されている例

 

Talos はその他にも重複したビットコイン ウォレットを特定し、同じスパム送信者グループによるものと思われる別の攻撃を明らかにしました。たとえば、ビットコイン ウォレット、1NAXPRTdVdR5t7wfR1C4ggr9rwFCxqBZD7 は、上述した「チケット」型のセクストーション詐欺のメッセージだけでなく、パートナーを裏切っている可能性のある受信者にビットコインを要求するという別の企てにも悪用されています。スパム送信者は、受信者を尾行して不倫の証拠写真を入手したと主張します。

不倫関係を悪用した脅迫メッセージの例

 

その他の攻撃のバリエーション(関係のない場合もあります)

SpamCop から取得した、ビットコイン関連のその他のスパムをさらに調査したところ、ビットコインによる支払いを狙ったソーシャル エンジニアリング攻撃をほかにも発見しました。

上述の、受信者の不倫につけ込んだ脅迫の例に工夫を加えた内容で、パートナーの不倫の現場を示す証拠を入手したと脅しています。メッセージの文言はこれまでのメールにやや似ていますが(QR コードを含んでいる点など)、その他の脅迫攻撃とは明らかに異なっており、まったく別の攻撃者集団によるスパム メールの可能性があります。

パートナーの不倫の証拠を提供するという、脅迫のバリエーション

 

これまでの例よりも恐ろしく、暴力的な脅迫をするパターンのメッセージのも発見されました。これらのメッセージでは、攻撃者は、メールの受信者を殺害する目的で支払いを受けたと述べています。また、移動手段の手配もすませたが心変わりし、自分を殺し屋として雇った人物の情報を受信者に売るつもりでいるとも書いています。このメッセージの表現や文言も、多くのセクストーション メールで実際に見たテキストと非常によく似ています。これらの暴力的な脅迫メールは、おそらく同じ攻撃者によるものと思われますが断定はできません。

受信者を殺害すると脅す暴力的な脅迫メッセージの例

 

その他のソーシャル エンジニアリングの例

ビットコイン関連のスパム キャンペーンには、Necurs ボットネット経由でのスパム送信とはほとんど無関係で、ソーシャル エンジニアリングを通じて行動を促すという創造的な試みが垣間見えるものもありました。

まず、簡単に儲かる仕組みに引っ掛かる傾向を悪用して被害者を狙う攻撃です。この勧誘メールでは、ビットコインの価値が 3 時間以内に魔法のように 2 倍になるウォレット アドレスにビットコインを送信するように誘導されます。攻撃者によると、システムの未公開のバグをエクスプロイトすることでビットコインを倍増できるそうです。普通のユーザなら、これが詐欺であるとすぐに気付けますが、ビットコインの概念に関する知識のないユーザはこうした種類のスパムに惑わされることもあります。

ビットコインが 2 倍になるとうたうメールの例

 

その他のビットコイン関連のスパムに、慈善事業に寄付する傾向のある人たちをターゲットにしているものがあります。軍の攻撃に苦しむ子どもたちを救うというのは称賛に値する動機ですが、このメッセージには、これが正当な慈善団体であることを示す手がかりは何もありませんでした。

疑わしい「子どもたちのための慈善基金」のメールの例

 

また、Talos では「有益な迷惑メール」であると主張するスパムも発見しました。メッセージの本文には「コンピュータのカメラを不正に操作して恥ずかしいビデオや写真を入手し、それを受信者の友人や家族に送ると脅しながらビットコインを要求するメールが拡散しているのはご存じですね。このメールは決してそのようなメールではありません」と書かれています。

ビットコイン宝くじスパムの例

 

この電子メールの下の方にある Q & A には次のように書かれています。「Q:どうすれば正当なメールであると確認できますか?A:確認はできません。正当なメールであるという証拠を提示する前に、私たちの情報はもちろん、当選者の情報も公開する必要があります。他意はありません。申し訳ありませんがこれ以上の対応はできかねます」。

10 月 4 日に実施されるというくじ引きの結果を追ったところ、このスパムに記載のビットコイン ウォレットで発生したトランザクションは 1 つのみでした。くじ引き前の 9 月 28 日に発生しておりその金額は 4 ドルでした。

まとめ

ほとんどのスパム対策ソリューションは、今回の投稿で取り上げたような明らかなセクストーション攻撃をフィルタ処理し、除外できますが、特効薬とは言えません。こうしたキャンペーンのスパムが受信トレイに忍び込んだときに、それがビットコインを支払うように誘導する詐欺であると気が付くほどの知識がない受信者も数多くいます。スパム送信者は多額のビットコインを確実に手に入れています。残念ながら、被害を未然に防ぐための教育に今後も時間がかかることは言うまでもありません。

侵害の兆候(IOC)

「Aaron Smith」セクストーション スパムで悪用された 58,611 のビットコイン ウォレットの一覧はこちらからご確認いただけます。

本稿は 2018年10月31日に Talos Group のブログに投稿された「Anatomy of a sextortion scam」の抄訳です。

TALOS Japan

Talos は、ネットワーク脅威の専門家集団です。Talos が提供する脅威インテリジェンスの情報は、既知および未知の脅威からお客様のネットワークを保護するためにシスコのセキュリティ製品によって活用されています。