ポルノを見ているときにウェブカメラで写真を撮影するマルウェアが発見される

カリフォルニア州サニーベールに本社を置くセキュリティ企業・Proofpointの研究者が、今年5月以降増加している情報窃盗型マルウェア「Stealerium」の調査結果を報告しました。StealeriumはGitHubで公開されているオープンソースのマルウェアで、詐欺メールを介して被害者のPCに侵入し、パスワードやカード情報のほか「ポルノ」などのキーワードに反応してPCの画面およびウェブカメラの映像を取得する特徴があります。

Not Safe for Work: Tracking and Investigating Stealerium and Phantom Infostealers | Proofpoint US
https://www.proofpoint.com/us/blog/threat-insight/not-safe-work-tracking-and-investigating-stealerium-and-phantom-infostealers

New infostealer malware snaps webcam photos when you watch porn | TechSpot
https://www.techspot.com/news/109344-new-infostealer-malware-snaps-webcam-photos-when-you.html

Stealeriumは2022年ごろに無料で入手できるオープンソースマルウェアとしてGitHubに登場し、「教育目的に限り」という制限の下でダウンロード可能になっていました。記事作成時点では、GitHubの利用規約違反のため、リポジトリは無効になっています。

Proofpointの研究者らは、2025年5月頃からStealeriumベースのマルウェア配信キャンペーンの増加を確認しました。キャンペーンは慈善団体、銀行、裁判所、文書サービスなどさまざまなメールに偽装しており、「支払期限」「裁判所召喚状」「寄付金請求書」などの添付ファイルをクリックすることで、Stealeriumがダウンロードされる仕組みとなっています。

以下は、Proofpointが特定した詐欺メールの一つで、旅行代理店を装った営業メールに偽装しています。これらのメッセージには、Stealeriumをインストールし、ネットワーク偵察を行ってWi-Fiプロファイルや近隣ネットワークを収集する圧縮されたJavaScriptファイルが含まれていました。

Stealeriumは標的のPCにダウンロードされると、ブラウザのCookieや認証情報、クレジットカードデータ、Steamなどのゲームサービスからのセッショントークン、暗号通貨ウォレットデータ、さまざまな種類の機密ファイルなど、多種多様なデータを盗み出す機能を備えています。Stealeriumには大きな特徴が2点あり、第1にStealeriumは特定のデータタイプを標的とせず、無差別に多様なデータを窃取します。

もう1つの特徴として、Stealeriumはポルノ関連データに特殊な反応を示す機能を備えています。Stealeriumは「ポルノ」「セックス」など攻撃者がカスタマイズ可能な文字列が含まれているかどうか確認することで、アダルトコンテンツに関連するブラウザタブを検知し、デスクトップのスクリーンショットとウェブカメラの画像キャプチャを取得します。

似たようなケースとして、2018年頃に「あなたのPCをハッキングし、ポルノ視聴時の様子をウェブカメラで盗撮した」という脅迫メールを受け取ったというユーザーの数が急増する攻撃が急増しました。しかし、セキュリティ研究者が「セクストーション」と名付けた当時の攻撃は、自身のメールで利用しているパスワードが書かれたメールを送りつけることでPCがハッキングされたと信じさせるもので、実際にウェブカメラをハッキングするものではありません。

「ポルノを見ているお前を盗撮した」と脅迫し、動画を人質に身代金を要求するサイバー攻撃が急増中 - GIGAZINE

by Charles Deluvio

Stealeriumの場合、実際にポルノなどのキーワードを含むウェブサイトをスクリーンショットで撮影すると同時に、ウェブカメラで標的の写真を撮影します。その上で攻撃者は、「ポルノサイトを閲覧している時の顔を公開する」と脅迫します。ウェブカメラをハッキングするマルウェアはしばしば現れますが、「ポルノを検知して自動的に写真を撮るマルウェアというのは、ほとんど聞いたことがありません」とProofpointの研究者であるカイル・クッチ氏は述べています。