この手口を「知っているだけ」でも変わります。
インターネット監視財団によると、2019年以降世界中で、ウェブカメラなどのデバイスで作成された性的虐待の画像は10倍に増加しているそうです。
犯罪者がさまざまな手口で児童の端末のウェブカメラにアクセスできてしまうと、それを利用して子どもを無断で録画、配信してしまうことが可能になります。
サイバーセキュリティの研究を通じて、児童のウェブカメラに侵入する手口が明らかになりました。今回はその手法と対策について紹介していきます。
チャットボット
この研究では、まず13歳の少女になりきった自動チャットボットを複数作成し、児童が頻繁に出入りするさまざまなチャットルームに犯罪者用の餌としてボットを撒いていきました。
このボットは、自分からは絶対会話を始めずに、18歳以上であることを確認したユーザーにのみ応答するようにプログラムされています。
ボットは、年齢、性別、居住地を明記して会話を始めるようプログラムされています。これは(アメリカの)チャット文化における一般的な慣習であり、記録された会話は、未成年と知っていながら、チャットしていた18歳以上の大人とのものであることが確認されました。
しかし、これまでの研究で、犯罪者は実際の年齢よりも若い年齢を装うことが多く、年上の年齢を装うことはほとんどないこともわかっています。
犯罪の手口
この研究用チャットボットで、13歳の少女と会話している自称大人とのやりとりを、合計953件記録しました。ほとんどすべての会話は、事実上ウェブカメラを強調した性的な内容でした。
一部は、露骨に性的な行為に対する動画に対してお金を払うと言っている者や、愛や将来の関係を約束しビデオに勧誘しようとする者もいました。これらの手口に加え、39%の会話で、未承諾のリンクが含まれていることがわかりました。
これらのリンク先のフォレンジック調査を行ったところ、19%(71件)にマルウェアが埋め込まれ、5%(18件)がフィッシングサイトに誘導され、41%(154件)がノルウェーの企業が運営するビデオ会議プラットフォーム「Whereby」と関連していることが判明しました。
Wherebyリンクのある会話サンプルには、13歳の少女(ただし研究用ボット)を誘い込み、不適切な行為を促していることが確認されました。
オンライン犯罪者は、マルウェアを使ってその児童のコンピューターに侵入し、ウェブカメラにリモートでアクセスします。そしてフィッシングサイトでは個人情報を収集するために使用されます。
例えば、フィッシングにより、犯罪者がその子のコンピューターのパスワードを取得し、ウェブカメラにアクセスして遠隔操作することも可能になります。
「Whereby」 のビデオ会話
当初疑問だったのが、なぜ「Whereby」が犯罪のプラットフォームとして好まれているかです。
調査の結果、犯罪者は「Whereby」の機能を利用し、同意なしで児童を監視・録画している可能性があることがわかりました。
この手法は、オンライン性的虐待を単純化することができます。犯人はハッキングの知識や勧誘テクニックを身につける必要がなく、ウェブカメラにアクセスすることができます。児童を騙し、一見無害なサイトにアクセスさせることができれば、カメラをコントロール可能にできるようなのです。
カメラにアクセスできるようになった犯罪者は、同意なしにそのカメラからその子を見たり録画できるようになります。このようなプライバシー侵害は、オンライン性的虐待へと繋がります。
分析によれば、犯罪者が「Whereby」を使って、選んだウェブサイトに動画のライブストリームを埋め込むことで、その児童のウェブカメラをコントロールできるようです。
ソフトウェア開発者に、Wherebyアカウントを組み込んだテストを行なってもらいました。すると、アカウントホストが訪問者のカメラをオンにできるコードを埋め込むことが可能なことが証明されました。つまり、訪問者が知らないうちににカメラをオンにすることが可能となるのです。
なお、Zoom、BlueJeans、WebEx、GoogleMeet、GoTo Meeting、Microsoft Teamsといった他のビデオ会議プラットフォームでは、このような悪用事例は見受けられませんでした。
訪問者のカメラとマイクのコントロールはWherebyプラットフォーム内に限られ、カメラとマイクがオンになっていることを示すアイコンが表示されます。
しかし、児童はカメラとマイクのインジケータに気づかない可能性があり、Wherebyプラットフォームを終了するかそのタブを閉じることなくブラウザのタブを切り替えると、危険に晒されることになります。この状態では、児童はホストが自分のカメラとマイクを制御していることに気づかないでしょう。
他人である訪問者が、カメラとマイクをのっとることができるのは「Whereby」だけのようです。
カメラとマイクがオンになると、インジケーターにアイコンが表示されますが、児童はそれに気づかないまま、「Whereby」を閉じずに、ブラウザのタブに切り替えたりします。そして気づかぬままにカメラとマイクを覗かれていることになります。
Wherebyに直接確認したところ、Wherebyの広報担当者は、プラットフォームが悪用される可能性があることを否定しました。Wherebyの情報セキュリティリードのVictor Alexandru Truică氏は以下のようにコメントしています。
Wherebyとユーザーは、ブラウザの権限を使って、明確な許可を得ることなくユーザーのカメラやマイクにアクセスすることはできません。
さらに、また、カメラが起動しているかどうかいつでも確認可能で、その許可をいつでも閉じたり、取り消したり、「オフ」にしたりすることができます。
さらに、Wherebyの弁護士もこの件を否定し、以下のように述べています。
Wherebyは、顧客のプライバシーと安全について真摯に受け止めています。このコミットメントは、我々がビジネスを行う上でのコアであり、私たちの製品とサービスの中心にあるものです。
一度許可した後にウェブカメラのアクセス権限をオフにするには、ブラウザのキャッシュに関する知識が必要になります。
最近の研究において、子どもは新しいメディアを使いこなすと言われていますが、安全やプライバシーの面ではデジタルリテラシーが欠如しているとのことです。キャッシュは高度な安全性とプライバシーの機能であるため、子どもたちがブラウザのキャッシュのクリア方法を知っていることは期待すべきではありません。
子どものオンライン上での安全を守るために
まず「気づくこと」が、安心・安全なインターネット空間への最初のステップです。保護者や政策立案者に対してもこのことを知ってもらい、ビデオ会議プラットフォームの会社もこのような悪用の手口を知ることで、対策も可能になります。
利用しないときはカメラは常にカバーしておくことも重要です。
また、児童のインターネット上の行動を監視する必要もあります。
ソーシャルメディアサイトやチャットルームでの匿名性は、オンラインでの性的虐待につながる可能性があります。
オンライン上の他人は他人であることに変わりないので、見知らぬ人の危険性について、子どもにはしっかり伝える必要があります。オンラインの安全に関する詳しい情報は、以下の各研究所ウェブサイトで確認できます。
