本サイトの記事や画像はAIが公的資料や報道を整理し制作したものです。ただし誤りや不確定な情報が含まれることがありますので、参考の一助としてご覧いただき、実際の判断は公的資料や他の報道を直接ご確認ください。
セクストーションが自動化の段階へ。情報窃取型マルウェア「Stealerium」が、アダルト関連の閲覧を検知すると画面とウェブカメラを同時に撮影し、威迫材料に転用し得ることが確認された。オープンソース由来で拡散が容易なため、個人の羞恥心を突く脅しが静かに広がる懸念がある。
見えない脅しが自動化へ
静かな執務室で、受信箱に滑り込む請求書メールをひとつ開く――そんな日常の動作から、悪意の作業は始まる。セキュリティ企業Proofpointは2025年9月3日に、Stealeriumを巡る観測状況を公表した。報告は、従来の「パスワードやクレジット情報を抜く窃取」にとどまらず、性的な羞恥を梃子にした新しい圧力のかけ方が、メール由来の攻撃の延長線上で進行している実態を描く。大仰な破壊や暗号化の予告がなくても、相手の弱みを握るだけで十分という犯罪者の計算が透けて見える。
Stealeriumはオープンソースとして配布されていた経緯を持つ。開発者は「教育目的」を掲げていたが、公開コードは誰にでも手が届く。実際、プロジェクトのリポジトリは現在無効化されているものの、複製や派生は各所で生き延びる。犯罪者にとっては、既製の道具箱を拾い上げ、細部を差し替えるだけで“商品化”できる土壌が整っていると言える。こうした流通の容易さが、目立たない小規模な犯行を増やし、被害者の沈黙に寄りかかる圧迫の連鎖を長引かせる。
虚偽メールから実証拠へ――自動セクストーション機能の不気味な進化
Stealeriumの厄介さは、機能の組み合わせ方にある。ブラウザで開かれているURLを監視し、あらかじめ定義したアダルト関連語に反応すると、デスクトップのスクリーンショットとウェブカメラ画像を同時に取得する。画像は手早く圧縮され、ほかの窃取データとともに攻撃者のサーバーへ送られる。被害者の顔と閲覧中の画面が一枚の“状況証拠”として並ぶことで、金銭やさらなる画像を要求する脅し文句に現実味が宿る仕掛けだ。仕組み自体は単純でも、羞恥という人間の感情に触れる点で、被害届をためらわせる効果がある。
データの持ち去り経路は複数だ。TelegramやDiscordのWebhook、メール送信のSMTPなど、一般の通信に紛れる形で情報が外へ流れる。盗まれる対象も広い。ブラウザの認証情報、Cookie、暗号資産ウォレットの鍵、Wi‑Fiプロファイル、メッセージ履歴といった断片が寄せ集められ、アカウント乗っ取りやなりすましに転用される。Proofpointは、普段はスパムや情報窃取を手掛ける低高度のグループ、TA2715やTA2536がStealerium系を使った事例を確認しているとし、派手なランサムウェアを避けて個人を面で狙う潮流を指摘する。企業にとっても無関係ではない。社員の私用端末や個人アカウントが突破口になり得るからだ。
現時点で確認されている範囲では、Proofpointは自動セクストーション機能が使われた具体的被害者を特定していない。ただ、同機能の存在は悪用の蓋然性を高める。過去には、ESETが2019年8月8日にフランス語圏を狙った「Varenyky」スパムボットを公表し、ポルノ視聴時に画面を録画する機能を備えていたと分析している。虚偽のゆすりメールが横行した時期にも、実際に“証拠映像”を自動生成しかねない系統が、細く長く続いてきたという重さがある。Stealeriumは、その線上にある最新の実装という位置づけになる。
セクストーション脅迫に備える――地味だけど効く基本の防御
日本でも、性的画像の拡散をほのめかす脅しは地道に増えている。公的機関は、見慣れないアプリや外部配布のソフトに注意を促し、万一の被害時は即座の通信遮断と相談を呼びかけてきた。IPAは2019年12月24日に、アプリ配布源の見極めや不用意な権限付与の危険性を示し、セクストーション事案の相談が継続的に寄せられていると明らかにした。こうした注意喚起は、攻撃の高度化に対しても有効だ。送り手が巧妙化しても、入口は依然としてメールとブラウザ、そして人の判断であることに変わりはない。
対策は地味だが効く。まず、怪しい請求や支払い連絡に含まれる添付やリンクを開かない。開いてしまった場合でも、実行形式やスクリプト、圧縮ファイルの展開に踏み込まない。多要素認証とパスワード管理の徹底、OSとブラウザの更新、不要なブラウザ拡張の削除を習慣にする。ウェブカメラは物理シャッターやカバーで塞ぐ。万が一、顔写真や閲覧画面を材料に脅されても、要求には応じない。ネットワークを切断し、端末を隔離し、警察や専門の相談窓口に連絡する。恥ずかしさは相手の思う壺だ。沈黙よりも、記録と通報が被害の拡大を止める。
企業側は、巧妙な請求書に見せかけた訓練で社員の検知力を鍛え、プロキシやメールゲートウェイで外部サービスへの異常な送信を監視するとよい。TelegramやDiscordのWebhook、SMTPの外向き通信を必要最小限に絞り、終業後の端末における不審なプロセスやカメラの起動を検知する仕組みを整える。Stealeriumのようなオープンソース系は、派生や改造が速い。シグネチャ頼みではなく、ふるまいを見る防御へ重心を移すことが、面倒であっても遠回りの近道になる。
