これ以上に悪夢のような状況は、なかなか想像しにくい。メールアカウントがハッキングされたと警告される。攻撃者はそれを使って、スマートフォンやコンピューターのカメラとマイクにアクセスしたと告げる。恐ろしい文面のメッセージで、こう告げられる。「すぐに気が付きましたが、あなたはアダルトコンテンツサイトの熱心なファンで、常連の訪問者のようですね」。いわゆるセクストーション(性的脅迫)詐欺だ。
実際の事態はそこまで深刻ではないが、Pornhubの最近のデータ侵害はそれにかなり近い。2億人を超える利用者の検索履歴と視聴履歴を盗み出したサイバー犯罪者集団の犯行は、Ashley Madison(一時期流行した不倫マッチングサイト)同様の大規模ハックの特徴をすべて備えている。
そして今、無関係だった2つの攻撃が突然結び付いた。Pornhub侵害のニュースを口実に、悪意ある者がセクストーション詐欺を仕掛けやすくなっている。
あなたのパソコンやスマホをハッキングし、Pornhub閲覧中の様子を撮影したという偽の脅迫メールが届く
Pornhubの侵害は、“あなたがアダルトコンテンツを見ている最中に、あなたのパソコンやスマホのカメラで撮影されていたかもしれない”という想像がもたらす、凍り付くような恐怖までは引き起こさないかもしれない。だがメッセージはこう警告する。「あと私が必要なのはマウスをクリックすることだけです。そうすると、あなたが映ったあの不快な動画が、友人、同僚、親族に送信されます」。
メールの送信元を偽装し、あなたのアカウントをハッキングしたと信じ込ませる
Pornhubのユーザープロフィール流出自体は事実である一方、ハッカーのこのメッセージは偽物である。だが巧妙だ。メールはあなた自身のメールアドレスから届く可能性が高い。あなたのメールが本当にハッキングされたと信じ込ませるための小細工である。これは送信者アドレスを偽装(スプーフィング)しただけだ。だが多くの利用者にとっては、それだけで十分に「本物らしく」見え、新たな被害者を生む説得材料になる。
サイバー犯罪者が何より好むのは「出来事」だ。詐欺と結び付ければ、攻撃は成立する。切迫感を加え、今すぐ行動が必要だと思わせれば、誘いは完璧になる。数億人のポルノ利用者がデータ侵害を心配しているという今回の状況は、条件をすべて満たしている。
冷静に対処するため、知っておくべきこと
今回の件はまず、Pornhubの侵害が影響したのは“プレミアム会員に限られる”点が挙げられる。契約していないのであれば、あなたのデータは含まれていない。
ただこの件は、ポルノサイトの匿名性をめぐる継続的な議論に、ひとひねりを加えることになった。これは禁止の拡大や、年齢確認、年齢または身元の確認を求める法律が施行される中での話なのだ。
本物の脅迫なら、何らかの証拠を提示し高額な“身代金”を要求する
次に、もしハッカーが本当にあなたに不利なデータを握っているのなら、疑いようのない形で示してくるはずだ。本物ならサムネイル画像などが提示されると考えるべきである。送信者アドレスの偽装に頼った匿名メールで、あなたを被害者に引きずり込もうとするような手口ではない。さらに重要なのは、ハッカーが要求するのは実質的な身代金だという点である。こうした攻撃(脅迫メールのテンプレ)でよく見られる2000ドル(約31万円)未満といった水準の金額ではなく、もっと高額を要求する可能性が高い。
偽の脅迫メールへの返信やリンクのクリックは厳禁
行為の最中を押さえたなどと示唆する背筋が凍るようなメールを見ても、関わってはならない。返信してはならない。添付ファイルを開いたり、リンクをクリックしたりしてはならない。メールを受け取った時点では、まだハッキングされていないかもしれない。だが、その後に何をするかで状況が変わり得る。
こうしたメールは今後増える。サイバー犯罪者がPornhubのニュースサイクルに乗じるからだ。ニュース記事へのリンクを貼った「テーマ付き」のメールが届くこともあるだろう。すべて偽物である。メッセージはこう続く。「これから、あなたには40時間しかありません。カウントダウンはこのメールを開いた時点で始まりました」。ありがたいことに、メールを削除するのにかかるのはわずか1秒だ。
