見出し画像

脅迫メールが来たので

脅迫メールが来たので、その全文と私の対応、反省などを書いておきます。
似たようなメールやDMで心配されている方の参考になれば幸いです。

脅迫メール全文掲載

グレー帯のところには私の暗証コード(正しいもの)が書かれていました。

翻訳は以下(google翻訳)。

こんにちは、

私はハッカーで、あなたのオペレーティング システムへのアクセスに成功しました。
私もあなたのアカウントに完全にアクセスできます。

あなたのアカウントにハッキングしたときのパスワードは ■ でした

ここ数か月間、あなたを見守ってきました。

実は、あなたのコンピュータは、あなたがアクセスしたアダルト サイトを通じてマルウェアに感染しているのです。
よく分からない方にはご説明させていただきます。
トロイの木馬ウイルスにより、コンピューターまたはその他のデバイスに対する完全なアクセスと制御が可能になります。
これは、私はあなたの画面上のすべてを見ることができ、カメラとマイクをオンにできますが、あなたはそれを知りません。
私はあなたのすべての連絡先とすべての通信にもアクセスできます。

ウイルス対策ソフトがマルウェアを検出しなかったのはなぜですか?
回答: 私が使用したマルウェアはドライバーベースであり、そのシグネチャは 4 時間ごとに更新されます。 したがって、ウイルス対策ソフトウェアはその存在を検出できません。
画面の左半分に自分が満足している様子を示すビデオを作成し、右半分にはその時に見ていたビデオを表示します。

マウスを 1 回クリックするだけで、このビデオをすべての電子メールやソーシャル ネットワーク上の連絡先に送信できます。
また、あなたが使用しているすべての電子メール通信やメッセンジャーでのチャット履歴を公開することもできます。

これを望まない場合は、私のビットコイン アドレスに相当するビットコインで 950 ドルを送金してください (送金方法がわからない場合は、Google で「ビットコインを購入」と検索してください)。

私のビットコインアドレス (BTC ウォレット) は: (略)

ご入金確認後、すぐに動画を削除させていただきます。 もう二度と私から連絡が来ることはありません。
支払いには 50 時間 (2 日以上) を与えます。 このメールを開くと通知が届き、タイマーが開始されます。
この電子メールは私のビットコイン アドレスのように追跡できないため、どこかに苦情を提出することは意味がありません。

私は決して間違いを犯しません。
このメッセージを他の人と共有したことが判明した場合、ビデオはすぐに配信されます。

よろしくお願いします!

内容を吟味

よく見るような内容ですが、さすがに正しいパスワードが記載されているのには肝を冷やしましたね。
それでも冷静に考えるとツッコミどころもありました。
・宛名がない
・捨てメアドに送ってきた
・私はアダルトサイトを見ません(…たまに見たかもしれません)
・パソコンのカメラは物理的にふさいでいます
・私のパソコンに完全なアクセスができるなら、動画撮影より、もっと重要なプライベートの情報や写真を抜いた方がいいと思います
・トロイの木馬って古くないですか?
・ちなみに「私は間違いを犯しません」← え… 
・「このメッセージを他の人と共有したことが判明した場合、ビデオはすぐに配信されます」← 転送したしブログにも載せてしまいました…

以上のことから、おそらくどこからか私のメールアドレスと暗証登録がセットで流出したのではないかと考えました。
※実際には本当に危険な脅迫でないとは限らないので、判断が難しい場合は必ず警察に相談してくださいね。

私が行なった対応

「迷惑メール相談センター」へこのメールを転送。ただしこのサイトは宣伝販売などの商取引に関するメールを主な対象としているようで、ここに転送したからといって警察やサイバー警察が動くとかそのようなことは期待できないと思います。いろいろ検索してみましたが、迷惑メールに関しては以下の状況のようです。

日本における迷惑メールを規制する法律には、総務省の「特定電子メールの送信の適正化等に関する法律」(以下特電法)と経済産業省の「特定商取引に関する法律」(特商法)の2つがあります。ともに平成14年に制定、あるいは追加されました(特定商取引に関する法律は、もともとは訪問販売、通信販売などを規制する法律であり、平成14年の改正で広告メールの送信に関する条項が加えらました)。

一般財団法人インターネット協会(IAjapan)
https://www.iajapan.org/anti_spam/portal/Operation/Law/law104.html

メールアドレスの変更。もともと捨てメアドでしたので、アドレス自体を削除しました。代わりにいくつかメアドを新設。通販やネットサービス、アプリ系など、用途によってユーザー名(メールの@の前の部分、アカウント名とも。正しくはローカルパート)を変えて、そこに年月日も加えました。
今回のような漏洩があった場合に、どんな登録サービスで漏れたのかをわかりやすくするためです。

暗証コードの見直し。何年も同じ暗証を改変しながら使ってきました。今回、あらためて自分の登録内容を確認していくと、さすがに危険だと感じました。よく今まで問題が起きずにすんだものです。
よく使うサービスについては、すべて作り直して複雑な暗証に変えました。
同じものはもちろん一つもありません。
工夫したのは、ある連想を使いそれさえ覚えていれば計算して暗号を導き出せるようにした点。これでパソコンや紙などに暗証情報を残す必要はありません。ただそれも一時的なもの、今後また変更します。

基本的に、銀行口座やカードの登録をしない。よく使うサービスで必要な場合は、口座に関しては預貯金の少ない安全な口座を登録するようにしました。カードも同様です。

念のためセキュリティーソフトも見直し。新しいソフトを入れてマシンをスキャンしました。パソコンに関して特に問題はありませんでした。

反省とまとめ

とにかくお金の絡むサイトの場合は、登録内容に気をつけたいものです。
私は使い回しやそのアレンジでずっとやってきたので、今回あらためて自分のずさんさに気がつき反省しています。パスワードの設定の仕方、管理の仕方、なかなかむずかしいですが、自分で工夫しながら楽しめたらいいなと思いました。

各サービス会社の反応も参考になった。登録変更時に再度パスワードの要求や、認証用の数字が別途メールで送られて来ることがあります。登録内容を変えれば「メールアドレスの変更が行われました」「パスワードが変更されました」「このアカウントからログインがありました」など、確認のメールが飛んできます。これは安心できます。
ところが中には、何のお知らせも来ない会社がありました。ログインさえすればどんな情報も丸見えで、すいすい変更もできてしまうのにも関わらず、です。ここは非常に危険なので今後は利用をやめようと思いました。

もし皆さんの「こんなふうにやってるよ」という事例などがありましたら、コメントをお願いできればありがたいです。

༄ サービスへのお支払いはこちらからお願いします