数ヶ月前、私は見知らぬ相手からあるメールを受け取りました。件名には私の名前だけが記載されており、通常、このような怪しいメールはスパムフォルダに自動的に行くはずですが、このメールはそれを回避したのです。

なぜスパムとして認識されなかったのか気になった私は、メールを開きました。内容を読んでみると、非常に露骨な文章が書かれていました。差出人は、カメラで私を監視していて、私の画像や性的な動画を持っていると主張、48時間以内にビットコインを支払わなければ、私の動画をインターネット上に公開すると脅迫していたのです。

添付ファイルもありましたが、当然ながら私はそれをクリックせずに冷静さを保ちました。私はパソコンのカメラに注意を払っている上、セキュリティ企業で働いているため、このようなメールは性的脅迫「セクストーション」を偽った詐欺メールで、よくあることだと知っていました。

このメールについて知り合いと話したところ、友人2人も同様のメールを受け取っていたことがわかりました。また、メールを受け取った日にTwitterを見たところ、私がフォローしている人たちにも送られていました。表現は少しずつ違っていたものの、文法やスペルの間違いと、「お金を払わなければ、あなたの性的な動画を暴露する」というメッセージは同じでした。

そこで、このメールがどのようにスパムフィルターを通過できたのか、これらのメールはどこから発信されているのか、そして、この種の脅迫を受けたらどう対処すれば良いのか、アバストのチームは、メールのメタデータを調べてみることにしました。

セクストーションメールを掘り下げると・・・

アバストのチームが私と私の知り合いに送られてきた合計4通のメールを調べたところ、すべて2021年4月12日から4月20日の間に受信されたことがわかりました。また興味深いことに、4通とも宛先はGmailアカウントでしたが、差出人のアカウントはAOLまたはYahooで、いずれもアメリカ通信大手Verizonの傘下です。さらに、差出人の名前とメールアドレスはそれぞれ異なっており、ヘッダーを見ると、これらのアカウントはマルウェアやログイン情報の盗難に遭った可能性のある正規のものだとわかりました。

メールの件名には、受信者のミドルネームやイニシャルを含む、名前が記載されていました。このような情報は必ずしもメールアドレスに含まれていたわけではありませんでした。名前を件名に入れる必要があったことから、差出人は、メール以外の情報源から私たちの名前を入手したと考えられます。恐らく、私たちのメールアドレスと名前の両方を含む情報源から入手したのでしょう。

次に、本文を見ると、4通とも同様な内容で、スペルや文法の間違いが目立ちました。メッセージはプレーンテキストで、画像やリンクなどはありませんでした。以下は私が受け取ったメールです。

アバストのチームが添付ファイルを確認したところ、テキストファイルで、マルウェアは含まれていませんでした（皆さんは差出人が不明の添付ファイルは絶対にクリックしないでください）。ファイル名はメールの件名と同じく、宛先の名前でした。このことから、メールの受信者は、私たちの名前とメールアドレスの両方を把握していたと考えられます。

私たちに送られた添付ファイルのうち、2つはビットコインアドレスと金額（米ドル）が記載されているだけでした。残りの2つにはそれに加えて、メール本文と似たような内容が追記されていました。それぞれに異なるビットコインアドレスが記載されましたが、これはセクストーション詐欺ではよくあることです。

以下は、私のメールに添付されたテキストファイルです（ビットコインアドレスを消しています）。

この種の詐欺はどれくらいの利益をもたらす可能性があるでしょうか？ビットコインについて少しでも知っている方なら、その価値が非常に変動しやすいことをご存じかと思います。メールが送られてきた日付と、その日のビットコインの始値を調べてみました。

ここで注目すべきことが何点かあります。まず、差出人は「1,300.00米ドル」ではなく、「1,299.00米ドル」を要求するという古典的な価格設定のトリックを使い、安価に見せかけています。またこの金額は、今年の初めにアバストの研究者が追跡した詐欺師らが要求した1,350米ドルに奇妙に近いものです。さらに、彼らは身代金をビットコインの金額ではなく、米ドルの金額で要求しており、ビットコインの価格変動を避けていると思われます。

当然、私は身代金を支払いませんでした。メールを分析した友人や、Twitterの知り合いも、身代金を払っていません。ビットコインウォレットを見ても、勝手に支払われていた証拠はありませんでした。

また、誰も詐欺師に「暴露」されていないことも、驚かないかもしれません。私の友人や家族は、もちろん私のプライベートな動画を受け取っていません。

セクストーションメールを受け取ったときの対処法

私は、これは脅迫を目的とした試みであることを見抜くことができましたが、誰もがこの種の詐欺を把握しているわけではありません。そこで、もし自分がセクストーションメールを受け取った場合の対処法をご紹介します。

1. 慌てないでください。そのメールはただのスパムで、昔横行していた「ナイジェリアの王子からのメール」の現代版なのです。
   
   
2. 返信してはいけません。その必要はありませんし、返信すると事態がエスカレートすることもあります。
   
   
3. 添付ファイルにマルウェアが含まれる場合があるため、開かないでください。今回のケースではマルウェアはありませんでしたが、あなたのメールも同じだとは限りません。
   
   
4. 脅迫者が、あなたのパスワードが流出されたことを言及した場合は、パスワードの状況を確認しましょう。ダークウェブで漏洩していないかをチェックしたり、パスワードを変更したりすることで対策できます。複数のパスワードを管理したい場合は、信頼できるパスワードマネージャを導入してください。
   
   
5. 脅迫メールを受信したことを友人と共有して、一緒に笑い飛ばしましょう。このようなことを笑い飛ばすことができるようにしないといけませんよね。

この記事は2021年7月2日に公開されたWhat I did when an email tried to blackmail meの抄訳です。