IntegoセキュリティTipsシリーズ「私はハッカーNSOGroup」

こんにちは、いつもact2ブログをご覧いただき、ありがとうございます。

本日は、Intego社が公開している脅威に関する案内文書をご紹介いたします。

「私はハッカーNSOGroup」と謳う新たな詐欺メールは議論を呼んだPegasus
マルウェアの知名度を利用。
（この記事は、2011年12月9日にKirkMcElhearn
（https://www.intego.com/mac-security-blog/author/kirk-mcelhearn/）
によって、MacSecurity Blogに投稿された"I am hacker NSO Group,
" New Email Scam LeveragesControversial Pegasus Malwareの翻訳です）

ここ何年も、どこか離れた場所にいるハッカーがお使いのコンピュータに
ソフトウェアをインストールし、ユーザの動作を監視し、場合によっては
ユーザの恥ずかしい行動も記録したと通知する詐欺メールが出回っています。
そして情報を公開されたくなければ対価を払えと要求します。ハッカーはコン
ピュータのカメラを制御できるので写真や動画を記録しており、ユーザの知り
合いや家族に送りつけることができるとします。

こうした詐欺メールの例としては、ハッカーがCIA職員のふりをして、ユーザが
「未成年の子供の電子的なポルノ素材を保管し配信した」罪で訴えられている
とします。
（https://www.intego.com/mac-security-blog/cia-porn-accusation-emails-heres-what-mac-users-need-to-know/）

私は数日前に受け取ったのですが、新しい種類の詐欺メールも出回っている
ようです。件名自体は害がなさそうで、次のように本物かよくある迷惑メールの
件名のように見えます:

     Updates: Payment from your account (990-6696706-1853781)

本文の例は、次のようなものです:

     Tհе U.S. íѕ оḟḟеᴦἰɴɡ սρ tο $10 ᴍἱllἱᴏᴨ ḟοг ìԁеɴtíḟуἱɴɡ уоս ἰɴ а

ᴄуbегϲгíᴍìɴаl ɡᴦоսр οрегɑtìσᴨ, ìɴсlսďìᴨɡ $5 ᴍἱllἰσᴨ lеаԁἱᴨɡ tо tհе

ɑгᴦеѕt οḟ аḟḟìlἰɑtеѕ.

上の例にある読めない文字は間違ってコピーされたものでなく、標準的なアル
ファベットと同一あるいはよく似た形だけれど全く異なる文字であるホモグ
リフです。一部はアクセント記号付きの文字ですが、その他は欧米言語では
使わないユニコード文字です。こうしたホモグリフは、迷惑メールフィルタを
すり抜ける目的で使われています。

この電子メールで特筆すべきは、ハッカーが箔をつけるために、政治家、金
持ち、活動家、あるいはジャーナリストを標的にしたPegasusマルウエアで
有名なNSOGroupの一員だと言っていることです。Pegasusについては、次の
ブログでも詳細に説明しましたし、
（https://www.intego.com/mac-security-blog/pegasus-spyware-hacks-iphones-of-prominent-individuals/）
最近AppleもNSOGroupを訴えました。
（https://www.intego.com/mac-security-blog/apple-sues-nso-group-for-pegasus-spyware-intego-mac-podcast-episode-215/）
メディアでも話題になったので、"NSOGroup"という名称を使うことで偽の
電子メールが本物っぽく見えるのです。

こうした詐欺メールのほとんどは、リアルな金額を要求します；法に触れる
やましい記憶があれば、コンピュータに誰かがマルウェアを仕込んで監視され
ていたのならば、数千ドル分のBitcoinを支払うこともしかたないと考える人は
いるでしょう。
ただし、Bitcoinを使って送金する方法を知っている人はそんないないと思います。

でも、新しい詐欺メールでは、それ以上の内容が記載されています:

     Yσս tгаɴѕḟеᴦ 50% (Fἰḟtу Pегᴄеᴨt) ᴏḟ уᴏսᴦ ḟᴦɑսԁ ἰllеɡаl ᴍᴏᴨеу tᴏ ᴍе

(ἱɴ bítсᴏἱɴ еԛսἱνаlеɴt аᴄсσᴦԁíᴨɡ tο tһе ехсһɑᴨɡе ᴦаtе ɑt tһе ᴍοᴍеɴt ᴏḟ

ḟսɴďѕ tгаɴѕḟеᴦ), аᴨď ᴏɴсе tһе tгɑᴨѕḟеᴦ ἰѕ геᴄеἱνеԁ, I ɯἱll ԁеlеtе ɑll

tհíѕ ďаtɑ ᴦἱɡһt аɯɑу.

次のように、この詐欺師は信頼に足るかもしれません:

     I аlѕο рᴦοᴍἰѕе tо ďеаᴄtìνаtе аᴨԁ ԁеlеtе аll tһе հагᴍḟսl ѕσḟtшɑᴦе

ḟгоᴍ уοսг ԁеѵἱϲеѕ. Tгսѕt ᴍе. I ᴋееρ ᴍу աᴏгď.

そして情報公開を阻止するために残された時間は少ないのです:

     Yоս һаνе lеѕѕ tһɑɴ 48 һσսгѕ ḟᴦᴏᴍ tհе ᴍσᴍеɴt уᴏս σρеᴨеԁ tһἱѕ еᴍаἱl

(рᴦеϲíѕеlу tшᴏ ԁауѕ).

このような電子メールには、必ずBitcoinウォレットコードが記載されており、
Bitcoin以外の方法で送金することはできません。相手が誰かは不明ですが、
Bitcoinでの送金情報は公開されているので、これまでこのアドレス宛の送金が
存在するかどうかを知ることはできます。上の私の例では、１セントも、
Bitcoinで言えば１シルバーもこのアカウントに送金された記録はありません。
（https://www.blockchain.com/btc/address/bc1qczvdrp9ufl56665l0gwzv8xx02wpqh3lyaujhc）

あるいは、特定のBitcoinアドレスについて犯罪の報告があるか調べることも
できます。私に届いたアドレスには、11月28日以降に全て前出の例同様の
詐欺で18件の報告があります。
（https://www.bitcoinabuse.com/reports/bc1qczvdrp9ufl56665l0gwzv8xx02wpqh3lyaujhc）
１件では$1,849が、もう１件では１Bitcoin（約$51,000）が、もう１件では
$30,000が要求されており、一貫性がないのは興味深いところです。いくつかの
報告はsextortion（性的な行動を公開すると脅迫すること）で、その他では
身代金、そしてその他には私と同じ脅迫があります。

いずれにしろ、本物っぽく見せるために最近悪名が高いNSOGroupを騙っては
いますが、よくある単純な詐欺でしかありません。

こうした電子メールは、受信者の恐怖に付け込もうとするだけですので、慌
てる必要はありません。同種の電子メールを受け取ったら、次の記事
（https://www.intego.com/mac-security-blog/cia-porn-accusation-emails-heres-what-mac-users-need-to-know/）
で触れた点を確認するとともに、その冒頭で紹介しているこの種の詐欺について
より詳しく説明する動画もご覧ください。

株式会社アクト・ツー
Software Product Team