セクストーションはsexとextortion(ゆすりや恐喝)を組み合わせた造語で、ターゲットに性的な秘密が暴露される恐怖を抱かせ、恐喝行為を行うことを意味する。ニュースサイトZDNetの記事によると、Phorpiex(フォルピエックス)と呼ばれるボットネットを利用したセクストーション攻撃により、5ヶ月間で11万5000ドルの被害が発生したという。
セクストーションの被害額は身代金ウィルスの被害額と比べるとわずかなものだが、犯罪者にとってはたやすく金が奪い取れる手法として好まれている。この攻撃は基本的に、詐欺メールをボットネットから大量に送りつけるのみで、添付ファイルでマルウェアを送り込むものではない。
詐欺メールの文中には、ネットリテラシーの低い人が信じ込みやすい文言(あなたのアカウントがハッキングされた、など)が記載されており、さらにウェブカメラ経由で「恥ずかしい写真を撮影した」などと脅すのだ。ウェブカメラを操作し、勝手に撮影や録画を行うマルウェアの存在は広く知られている。
さらに、一部の詐欺メールには被害者が用いているパスワードが記されており、これが恐怖心をさらにあおることにつながる。犯罪者らは流出したパスワードを、ダークウェブなどで非常に安価な価格で入手し、攻撃に用いている。
テクノロジーに弱いインターネットユーザーは、このような詐欺を簡単に信じ込み、パニックに陥った結果、大金を支払ってしまうのだ。多くのスパムメール詐欺と同様に、犯罪者は膨大な数のメールをボットから発信する。1時間あたり3万通ものセクストーションメールを送信した例も報告されている。
しかし、成功率はかなり低いものの、サイバー犯罪者はこの手口で確実に利益をあげている。筆者が確認した詐欺メールの1つは、775ドル相当のビットコインの支払いを求めていた。仮にこれが平均的な額だとすると、5カ月間で150人がセクストーションの被害に遭っていたことになる。
他のサイバー犯罪に比べれば少ない額ではあるが、犯罪者らが驚くほどシンプルな手法で、金を奪い取っている点が許しがたい。