インターネット・ウォッチ財団によると、2019年以降、世界中でウェブカメラやその他の録画機器で作成された性的虐待画像の数が10倍に増加している。
ソーシャルメディアやチャットルームは、子供との接触を促進するために最も一般的に利用される手段であり、虐待はオンラインとオフラインの両方で発生しています。テクノロジーの進歩を悪用し、テクノロジーを活用した性的虐待を行う加害者が増えています。
児童のウェブカメラにアクセスすると、犯罪者はそれを使用して児童ポルノを録画、作成、配布することができます。
私たちはサイバー犯罪とサイバーセキュリティを研究する犯罪学者です。現在、オンライン上の犯罪者が子供のウェブカメラに侵入するために用いる手法を研究しています。この研究のために、私たちはオンラインで子供のふりをして、活動的なオンライン犯罪者の行動を観察しました。
チャットボット
まず、13歳の少女に偽装した自動チャットボットをいくつか作成しました。これらのチャットボットは、子供たちが交流するために頻繁に利用する様々なチャットルームに、オンライン上の悪質な人物を誘き寄せるためのおとりとして設置されました。ボットは会話を始めることはなく、18歳以上と自認するユーザーにのみ応答するようにプログラムされていました。
ボットは、会話を始める際に必ず年齢、性別、居住地を述べるようにプログラムしました。これはチャットルーム文化では一般的な慣行であり、記録された会話は18歳以上の成人が未成年者と知りながら意図的にチャットしているものに限定されます。対象者の中には未成年で成人を装っている者もいた可能性がありますが、過去の調査によると、オンライン上のプレデターは通常、実年齢よりも若く、年上ではないことを明らかにしています。
自称成人と、13歳を装った研究者のチャットボットとの会話の一部。Eden Kamar, CC BY-ND
児童性的虐待に関するこれまでの研究のほとんどは、警察の報告書などの過去のデータに依存しており、現在児童虐待に用いられている戦術に関する記述は時代遅れとなっています。対照的に、私たちが使用した自動チャットボットは、現在も児童虐待を行っている加害者と、彼らが性的虐待を助長するために現在使用している手法に関するデータを収集しました。
攻撃方法
チャットボットは、13歳の少女と話していると告げられた、自称成人との会話を合計953件記録しました。会話のほぼすべてが性的な内容で、特にウェブカメラが中心でした。中には、自分の欲望を露骨に表現し、少女が性行為を行っている動画と引き換えに金銭を申し出る者もいました。また、愛と将来の関係を約束して動画を要求しようとする者もいました。こうした一般的な手法に加え、会話の39%に迷惑リンクが含まれていたことが判明しました。
リンクのフォレンジック調査を実施したところ、19% (71 リンク) にマルウェアが埋め込まれ、5% (18 リンク) がフィッシング Web サイトにつながり、41% (154 リンク) がノルウェーの企業が運営するビデオ会議プラットフォーム Whereby に関連していることが判明しました。
The Conversation は著者の未発表データを検証し、チャットボットの対話内のリンクの 41% が Whereby のビデオ会議へのリンクであり、Whereby のリンクを含む対話のサンプルには、被験者が 13 歳の少女だと告げられて不適切な行動をとるよう誘惑しようとしている様子が見られたことを確認しました。
これらのリンクの一部が、子供を狙う犯罪者にとっていかに役立つかは、すぐに明らかになりました。オンライン上の犯罪者は、マルウェアを使って子供のコンピュータシステムに侵入し、ウェブカメラへのリモートアクセスを取得します。フィッシングサイトは個人情報を収集するために利用され、犯罪者が標的を狙う際に役立ちます。例えば、フィッシング攻撃によって、犯罪者は子供のコンピュータのパスワードにアクセスでき、そのパスワードを使って子供のカメラにアクセスし、リモートコントロールできるようになります。
ビデオ会議
当初、Whereby がオンラインの性的虐待者の間で好まれている理由や、このプラットフォームがオンラインでの性的虐待を助長するために使用されているかどうかは不明でした。
さらに調査を進めたところ、オンラインの犯罪者がWherebyプラットフォームの既知の機能を悪用して、子供たちの積極的な同意や情報に基づく同意を得ることなく監視したり録画したりする可能性があることが判明しました。
この攻撃方法は、オンライン性的虐待を簡略化します。加害者は、子供のウェブカメラにアクセスするために、技術的な知識や社会的に巧妙な操作を行う必要はありません。むしろ、被害者を一見無害なサイトにアクセスするよう誘導できれば、子供のカメラを制御できる可能性があります。
カメラにアクセスできれば、加害者は実際の(技術的な)同意を得ることなく、児童の行動を観察し録画することで児童を虐待することができます。このようなアクセスレベルとプライバシーの軽視は、オンライン性的虐待を助長します。
分析の結果、犯罪者がWherebyを利用して、任意のウェブサイトに動画のライブストリームを埋め込むことで、子供のウェブカメラを操作できる可能性があることが判明しました。ソフトウェア開発者にWherebyアカウントを埋め込んだ状態でテストを実施してもらったところ、アカウントのホストが訪問者のカメラをオンにするためのコードを埋め込むことができることが示されました。このテストにより、訪問者に知られることなくカメラをオンにできることが確認されました。
Zoom、BlueJeans、WebEx、GoogleMeet、GoTo Meeting、Microsoft Teams などの他の主要なビデオ会議プラットフォームがこのように悪用される可能性があることを示す証拠は見つかりませんでした。
訪問者のカメラとマイクの操作はWherebyプラットフォーム内に限られており、カメラとマイクがオンになっていることを示すアイコンが表示されます。しかし、お子様はカメラとマイクのインジケーターに気づかない可能性があり、Wherebyプラットフォームを終了したり、タブを閉じたりせずにブラウザのタブを切り替えてしまうと危険にさらされる可能性があります。このような状況では、お子様はホストがカメラとマイクを操作していることに気づかない可能性があります。
The ConversationはWherebyに問い合わせたところ、広報担当者はこの機能が悪用される可能性について否定しました。Wherebyの情報セキュリティ責任者であるVictor Alexandru Truică氏は、「Wherebyとユーザーは、ブラウザの権限設定でユーザーから明確な許可を得ない限り、ユーザーのカメラやマイクにアクセスすることはできません」と述べています。また、ユーザーはカメラがオンになっているかどうかを確認でき、「いつでもその権限を終了、取り消し、または『オフ』にすることができる」と述べています。
同社の弁護士も、Wherebyは研究者らの主張に異議を唱えていると述べた。「Wherebyは顧客のプライバシーと安全を真剣に受け止めています。このコミットメントは当社の事業運営の核であり、製品とサービスの中核を成しています。」
ウェブカメラへのアクセスを最初に許可した後に取り消すには、ブラウザのキャッシュに関する知識が必要です。最近の調査によると、子供たちは新しいメディアを使いこなせると考えられているものの、安全性とプライバシーに関するデジタルリテラシーが不足していることが報告されています。キャッシュはより高度な安全性とプライバシー機能であるため、子供たちにブラウザのキャッシュをクリアする方法やその方法を知っていることを期待すべきではありません。
お子様をオンラインで安全に保つ
安全で信頼できるサイバー空間への第一歩は、認識を高めることです。私たちは、保護者や政策立案者が脆弱な立場にある人々を守り、啓発できるよう、これらの攻撃手法を報告しています。ビデオ会議事業者はこれらの脆弱性を認識した今、プラットフォームを再構築し、こうした悪用を回避できます。今後、プライバシーの優先順位を高めることで、悪意ある目的で悪用される可能性のある設計を防ぐことができるでしょう。
ウェブカメラを通じてあなたをスパイする方法はいくつかあります。
お子様のオンライン環境を安全に保つための推奨事項をいくつかご紹介します。まず、お子様のウェブカメラは必ず覆ってください。これは性的虐待を防ぐことはできませんが、ウェブカメラを通して覗き見される犯罪者を防ぐことはできます。
お子様のインターネットでの活動にも注意が必要です。ソーシャルメディアやチャットルームは匿名性が高いため、オンラインでの性的虐待につながる最初の接触が容易になります。オンライン上の見知らぬ人は、やはり見知らぬ人です。お子様に、見知らぬ人からの危険について教えてください。オンラインの安全性に関する詳細は、当研究所のウェブサイト(Evidence-Based Cybersecurity Research GroupおよびSarasota Cybersecurity)をご覧ください。
エデン・カマー(エルサレム・ヘブライ大学博士研究員)、クリスチャン・ジョーダン・ハウエル(南フロリダ大学サイバー犯罪学助教授)
この記事はクリエイティブ・コモンズ・ライセンスに基づきThe Conversationから転載されました。元の記事はこちらです。
