爆破予告とセクストーション詐欺の関連性
2018 年 12 月 13 日(木曜日)は米国各地で多数の公共機関、特に大学、学校や報道機関などで偽の爆破予告メールが届き、大きなニュースとなりました。脅迫メールでは、受信者の建物に爆発物を仕掛けたと脅し、爆破停止の条件として数千ドル分のビットコインを要求していました。
Cisco Talos では、今回のキャンペーンが実際には 10 月に報告された
セクストーション/脅迫攻撃の進化形であることを突き止めました。脅しの内容は完全に偽物でしたが、脅迫を受けた組織が建物内から全員を避難させ、法執行機関に調査を求めたことから、類を見ない規模の注目を集めました。
攻撃者が 13 日に米国各地の組織に送信した、偽の脅迫メールの例
他の脅迫キャンペーンでは個人のみを標的にしてきましたが、今回の脅迫事件では集団を狙っているのが得意な点です。また、機微データの公開や身体的な攻撃といった脅迫手段はこれまでも使用されてきましたが、集団に対する身体的な脅迫、とりわけ爆破予告が使用されたのは今回が初めてです。
Talos では、今回の爆破予告で使用された 17 個のビットコイン アドレスを特定しました。そのうちプラス残高があるのは 2 個のみです。いずれのプラス残高も、攻撃当日の 12 月 13 日に受け取った金額に起因しています。ただし取引金額はどちらも 1 ドルを下回っています。つまり被害者側は要求金額(2 万ドル)の支払を拒否したことになります。
今回の脅迫事件で Talos が現在までに関連性を確認したサンプルはすべて、あるドメイン レジストラ兼ホスティング業者(reg.ru)に属する IP アドレスから送信されたものです。つまり、この業者でホストされているドメインの資格情報を攻撃者が不正入手していた可能性があります。爆破予告メールの送信に使用された複数の IP アドレスは、以前のキャンペーンで見られたようなセクストーション メールの送信にも使用されていました。セクストーションとは、被害者の性的な動画を入手したと主張し、ビットコインなどで支払わない限り一般に公開するとメールで脅迫する手口です。
爆破予告メールは昨日遅くに内容が変化し、個々の受信者に身体的な危害を加えると脅す、従来の手口に戻っています。今回の脅迫内容は「酸を投げ付ける」ことです。
被害者がビットコインで支払わない限り酸を投げ付けると主張する、新手の脅迫メールの例。
これまでのところ、支払先に指定されたビットコイン アドレスには一切送金されていません。ただし脅迫メールの送信元 IP アドレスは変更され、ロシアのホスティング業者である TimeWeb 社の IP アドレスが多用されています。爆破予告メールと同様に、これらの IP アドレスも攻撃者が不正入手したものであると考えられます。
脅迫メールの犯人は、受信者を騙そうと、あらゆる口実やストーリーを送り付けてきます。現時点で、脅迫メールにはいくつかの異なるバリエーションが確認されています。脅迫内容を信じて要求金額を支払う被害者がいる限り、この手の攻撃が止むことはありません。こうした脅迫内容を決して信じず、まして要求金額は絶対に支払わないようにご注意ください。要求金額を支払うことは攻撃を助長するだけであり、追加の攻撃を生むからです。
IOCS(BTC アドレス)
11B68RbmyxQys2CXXbAZxcwVXnaWCNBbw
12MET3CnEBkRc5Si5udf95fGaTZ6JwgpkK
132f8T1qF9hZj13MvPN5FbxrAhGExYZ7P3
149oyt2DL52Jgykhg5vh7Jm1QpdpfuyVqd
15F7TCqGRWE66xrBNxyt9ko1XsKaQvEh9t
15qH84uLC49CmC6jRE958Qjcf9WRZ2rMuM
1893DMwnrq9vA6JmQBdyWRKecArDAUTcGR
18UNWkvEDXgYzSAVnTmaR1X66w3T7HHsdn
1BTuxsCpAGtCzcszvFV2g4beqAZ2AUnyFh
1BfmmRBfhujpK944gai4vWvwCwGeHKbmkB
1BHasGex1jhRZeY7KyUGGKUNRtVgKedRY8
1CDs3JXUU6wNmndAF7EFcrJ6GGSYRKXd7w
1CF9VQhwjJutPxwVq5QLFA7j7baq4RDb3w
1CXrmcKL7W2o6FnrFx3ZBGn2EAsbMVZMzD
1CdD3nthrWR76RkL1WwLH7BSqCFASLjbhu
1D3ArQebDneVBVCqLort9jwvUA3AoZaNq5
1DVVQpxF4nG7rmuQFb7ZboGxu6ahKJcjf5
1Dnw2qJxGFCZdE3PzCaVioBB9zERc7SzRB
1DRXeydtqfjAmvfrLY7XiCo2A1vCq32z3a
1Ebf2rrLxVuMGKkwi2PeZtjBEEiidxrkkL
1FnTQHffH42iS15FMYNZxmNdbXtmb8WChF
1GTd6DPqcxCwX263BMsvk7FcjCQxsXhJUs
1GYAJY3GRsC5twdPgmQiEeNjdn7Kx6KSPd
1L5SWCu4ZTLiyPyTAvfSVjhKrYNSnYgBKk
1LEevM4MxKSGRrTvVrvLyjiuq3vYssdTRa
1LT4WgSuTD71Emzc7DLeHxVoZ1RjkhNcFY
1LTYBLzVSLe6GDFJ5NVVxLR2j5eQ8Wy51N
1LjxZonruwcKXEUYySrXt7gWGJLL6Pzuyx
1M9r1FpWj5QbSMECeJvXoa85TDMpoQcRaT
1MeDDtvZB5TE5tDTcwk6GiGSK3sTAP2KLA
1P3cNFy3SdfZ8PvMSdgLRcb2TtaLvxfqat
1PqX7bMnCzpJ7L1mxuGgNyaJSkJRM8SjES
カバレッジ
Tags:本稿は 2018年12月14日に Talos Group
