既婚者向け出会い系サイト「Ashley Madison」は、2015年7月、「Impact Team」と名乗るサイバー犯罪者グループの攻撃を受けました。その後、窃取された情報がオンライン上で公開されると、トレンドマイクロは、この漏えい事例に便乗した脅威が間を置かずに登場するだろうと予測しました。漏えいした情報には、人に知られたくない会員の個人情報が含まれています。莫大なお金が絡むこうした事例には、サイバー犯罪者は便乗して利益を得ようとします。実際、弊社がこの事例に便乗したさまざまなメールを受信し始めるまで、長くはかかりませんでした。この情報漏えい事例に便乗した複数のサイバー犯罪者が、漏えいした会員の秘密を公開しないことと引き換えに、およそ 1ビットコイン(2015年9月1日時点、約2万8千円)を要求するメールを送信していることを確認しました。
これらのメールの中には不特定多数の宛先に送信されたものもあるかもしれませんが、多くは漏えいした Ashley Madison のデータベースに登録されている会員の Eメールアドレスを特定して送信されたものと弊社では考えています。こうしたメールの中には、受信者に金銭をゆするものがありました。当初は約 1ビットコイン、その後は 0.5ビットコインを要求しています。支払わなかった場合は、会員の友人や家族に知らせると脅します。友人や家族の名前を挙げたリストは、漏えいした会員情報を元に Facebook のアカウントを特定した上で一般公開している友達リストから入手したように思われます。こうしたメールは、送信者名に「Ashley Madison」やその運営会社である「Avid Life Media」の名前を偽装していますが、これはメールの内容に信ぴょう性を与えるためだと思われます。このような偽装に使用される Eメールアドレスとそのドメインは、不正なものとしてテイクダウン(閉鎖)の措置が順次行われています。
図1:「Ashley Madison」の会員をゆする詐欺メールの例
また、Ashley Madison を実際に攻撃した「Impact Team」を偽装し、これ以上の情報が漏えいしないように、Ashley Madison から会員の情報をほぼ同料金で削除すると持ちかけるメールも確認されました(図2)。
図2:「Ashley Madison」を攻撃した「Impact Team」を偽装する詐欺メール
さらに、Ashley Madison に対して集団訴訟を起こす弁護士を装って、被害者に金銭を要求し、「資金調達」を目論むメールもありました(図3)。
図3:集団訴訟に関する詐欺メール
こうした詐欺メールを受信したユーザは、どうしたら良いでしょうか。まずはっきりと言えることは、要求された金銭を支払わないことです。こうしたサイバー犯罪者は、ユーザの心理を巧みに利用し、恐怖を与えて利益を得ようとします。こうした行動は誰しも秘密にしたいものです。メールを受信したユーザは金銭を支払いたくなるかもしれませんが、いったん漏えいした情報を元に戻すことはできません。また、すべての会員が自発的に登録したとは限りません。知らない間に、誰かが自分のアカウントを利用して登録した可能性もあります。
また、このような Webサービスでの情報漏えいが起こった場合、被害は事件が発生したサイトだけに留まらないことも注意すべきです。サイバー犯罪者は入手した情報を元に、別の Webサービスに対してアカウントリスト攻撃を仕掛けるかもしれません。自身が使用する Webサービスで情報漏えいが起こった場合、自分が利用している Webサービスすべてのアカウントとパスワードを見直すことも必要になります。
弊社では、この事例に便乗した新たな脅威がないか今後も監視を続けていきます。
弊社製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「E-mailレピュテーション」技術により、この脅威に関連する E メールをブロックします。
参考記事:
- 「Blackmail, Deletion Offers Hit Ashley Madison Users」
by Jonathan Leopando (Technical Communications)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)