受信トレイを開くと、「今すぐパスワードを変更してください。アカウントがハッキングされました」というメッセージが目に入ります。メールには、あなたのパスワードの一つを装ったもの、脅迫、そして金銭の要求が書かれています。そのパスワードは確かにあなたが過去に使ったものなのに、ハッカーはどうやって入手したのでしょうか?本当にマルウェアに感染していたのでしょうか?
この「脅迫スパム」はインターネット上の受信箱を次々と襲っており、その効果のほどは定かではないものの、多くの人々の不安をかき立てています。このメールは、非常に支離滅裂な英語で書かれており、ハッカーがあなたのコンピュータを乗っ取り、スパイウェアをインストールしてあなたの大胆なブラウジング習慣を暴き出したと主張しています。ハッカーはさらに、あなたが「お気に入りのリソースの大きな楽しみ」をクリックしている間(おそらくじっと見つめているのでしょう)、あなたの写真を撮影したと主張し、ビットコインで支払いをしなければ、その写真をあなたの連絡先と共有し、コンピュータを壊すと脅迫しています。
多くの人々が懸念しているのは、脅迫スパムが過去に使用したパスワードを表示することで、それが正当なものであることを「証明」している点です。(これはよくあるケースですが、必ずしもそうとは限りません。私が受け取ったこのスパムのほとんどには、私が使用したことのないパスワードが含まれていました。)公開されたパスワードは、過去10年間に発生した多数の大規模なパスワード侵害の1つから抽出されたものなので、現在も使用しているパスワードではないことを願います。あなたのパスワードが含まれている可能性のある侵害を確認するには、「Have I Been Pwned」で自分のアドレスを確認してください。(攻撃者が解読したパスワードのほとんどは短くて安全ではないことに注意してください。パスワードが12文字以上で、辞書に載っている単語やよく知られたパターンを使用していない場合は、解読に失敗した可能性があります。)
はっきり言いますが、あなたのメールアドレスと漏洩したパスワード以外、メッセージに記載されている内容はすべて捏造です。あなたのコンピュータはハッキングされておらず、マルウェアにブラウジングを監視されているわけでもなく、あなたの写真がリモートサーバーにアップロードされているわけでもありません。心配する必要はありません。メッセージをスパムとしてマークして、普段通りの生活を送ってください。
友人や同僚から同じような脅迫スパムについて尋ねられたら、この記事を紹介して、心配する必要はないと安心させてあげてください。もちろん、漏洩したパスワードをまだ使い続けている場合は別ですが、その場合はすぐに変更してください。
とはいえ、このスパムは、悪意あるインターネット通信の転換点となるのではないかと危惧しています。ほとんどのスパムやフィッシングメールは、ほぼ完全に一般的な内容で、主なカスタマイズはメールアドレス、そして時には名前です。時には友人のアドレスを偽装したり、友人の乗っ取られたアカウントから送信されたりすることもありますが、それだけです。このようなスパムメッセージが(ある程度は)説得力を持つのは、何らかの大きな文脈があるから、あるいはお金を稼いだり節約したりしたい、より魅力的になりたい、あるいは大胆なブラウジングを楽しみたいという共通の欲求につけ込んでいるからです。(ここでは具体的な言葉を使って、過剰なスパムフィルターを作動させないように細心の注意を払っています!)
しかし、このメッセージは違います。この脅迫の信憑性は、理論上、パスワードを知っているのはあなただけであるという事実にかかっています。脅迫者があなたのパスワードを知っているなら、彼らの他の主張も真実かもしれない、とあなたは考えます。実際はそうではありませんが、常にG指定のブラウジング習慣を持つ人でさえ、一瞬のパニックに陥ったと報告しています。古くて安全でないパスワードを今でも使い続けている人は、一瞬のパニックでは済まないでしょうし、当然のことです。
問題は、オンラインで容易に入手できる個人情報に関して言えば、盗まれた古いパスワードは氷山の一角に過ぎないということです。この脅迫スパムは、メールアドレスとパスワードというたった2つの情報しか組み合わせていません。同様の攻撃が利用される情報量を拡大したらどうなるでしょうか?
2018年7月に発生したアポロ計画の侵害のような、一部の侵害には、勤務先、役職、所在地、企業の収益など、多種多様な個人データが含まれています。公開データベースにはさらに多くのデータが公開されています。ニューヨーク・タイムズ紙は最近、有権者登録や投票記録を利用して友人に投票を促すアプリに関する記事を掲載しましたが、これらのデータが悪意のある目的で利用されることは容易に想像できます。さらに、不動産記録、破産申請、離婚記録なども存在します。
恐喝スパムが論理的に極限まで進むと、誰もが何かを隠している理由の究極の例になります。誰かが必ずしも恥ずかしいことをしたというわけではありませんが、特定の事実を隠しておくために金銭を強要される可能性が高まっています。あなたの投票履歴を、近所で他党に登録しているすべての人に暴露すると脅迫する恐喝スパムを想像してみてください。あるいは、あなたの名字を持つインターネット上のすべての人に、あなたの破産や離婚について告げるという恐喝スパムを想像してみてください。恐喝スパムは、真実でなくても損害を与える可能性があります。スパマーがあなたの会社のドメイン名の全員に匿名のメッセージを送信し、数年前にあなたが性的暴行を行ったと非難し、送信者は恐怖のあまり身元を明かせないと伝えたら、あなたのキャリアにどのような打撃を与えるでしょうか。
プライバシーへのパラノイアを煽りたくはありませんが、犯罪組織がデータサイエンスのスキルを高め、データセットがますます大規模になるにつれて、こうした攻撃はますます洗練され、信憑性を持つようになるでしょう。それは一夜にして起こるものではないかもしれません。そうしたスキルを持つ人は通常、正規の職を見つけやすいからです。しかし、組織犯罪グループが現在、マルウェアを作成するために熟練したプログラマーを雇用している、あるいは雇用できるのと同じように、彼らは最終的に、あなたに関するあらゆるデータを組み合わせて、様々な方法で兵器化できる人材を見つけることができるようになるでしょう。同様に、政府が一般大衆に恐怖、不和、混乱を煽ることを厭わないことは明らかであり、おそらく既にそのためのリソースを持っているでしょう。
最悪なのは、このような攻撃に対する有効な防御策が想像できないことです。スパムフィルターは、メッセージを見なければ保護されるため、従来のスパムには有効です。しかし、脅威に気づかないからといって、脅迫者が実行に移すのを阻止できるわけではありません。決済手段をブロックしたり、支払いを追跡したりすることは、現実世界では効果的かもしれませんが、暗号通貨システムでは、取引所から資金が引き出される際に完全に匿名ではないにしても、そのような支払いの追跡が困難になります。しかし、それでも、社会に紛争をもたらそうと企む国家主体から身を守ることはできません。
オンラインで入手可能な個人情報の量を制限する強化されたプライバシー法は、こうした攻撃の深刻さを軽減、あるいは防止するのに役立つ可能性があります。欧州のGDPRは完璧とは程遠いものの、その方向への一歩と言えるでしょう。しかし、米国では、本格的なプライバシー法の制定はおそらく実現しないでしょう。少なくとも、反対する政治家たちの人生が、私たちと同じように、誰の目にも明らかになるまでは。