22歳のアラバマ州男性が、数百人の若い女性のソーシャルメディアアカウントを乗っ取り、盗まれた親密な画像で脅迫した罪で連邦罪に有罪を認めた。
2022年から2025年にかけて、ジャマルカス・モズリーはなりすまし戦術を使用して被害者のSnapchatおよびInstagramアカウントの支配権を奪い、その後、要求に応じない限り個人の写真を公開すると脅迫した。
「モズリーは全ての親が恐れるオンライン上の危険な見知らぬ人である」と、米国司法長官テオドア・S・ハーツバーグは述べた。
彼は説明を続け、「モズリーは十代および成人若年層の信頼を悪用し、彼らのアカウントをハッキングして親密で性的に露骨な画像を盗み、3年間にわたって脅迫した」と述べた。
テオドアは「この冷酷で綿密に計画された計画は、誰もがオンライン上で相互作用する相手に細心の注意を払う必要があることを改めて示唆している」と付け加えた。
複数州にまたがる性的脅迫キャンペーンの詳細
連邦検察によると、モズリーは被害者の友人や知人になりすまし、アカウント回復コードやパスワードを共有するよう操作した。
これらの認証情報を入手すると、彼はソーシャルメディアアカウントを乗っ取り、被害者をロックアウトし、個人の画像および動画にアクセスし、その素材を使用して追加の露骨なコンテンツまたは金銭を要求したと主張されている。
連邦裁判所の提出資料によると、被害者は複数の州に及び、未成年を含んでいた。
ある事例では、検察はモズリーが20歳のジョージア州女性の高校時代の友人になりすまし、Snapchatの回復コードを取得したと述べた。
アカウントへのアクセスを獲得した後、彼は「あなたの65本のビデオと写真が投稿されようとしている」と主張する脅迫メッセージを送信したと主張されている。
別の事例では、18歳のフロリダ州女性が要求を拒否した場合、彼は実際に盗まれた画像をオンラインで公開したと報告されている。
アカウント回復ワークフローの悪用
この計画の中心にはアカウント回復ワークフローの悪用があった。ソーシャルメディアプラットフォームは、正規のユーザーがアカウントへのアクセスを回復するのを支援するために回復コードとパスワードリセットメカニズムを提供している。
しかし、被害者がその回復コード(たとえ知らない間に)悪意のある行為者と共有した場合、アカウントの支配権を効果的に移譲することができる。
検察は、モズリーがこの設計を悪用し、自分が信頼できる連絡先であり、コードが必要であると被害者を説得することで、技術的な悪用を展開することなく認証セーフガードをバイパスしたと主張している。
デジタル強制から現実の脅迫へ
アカウント内に入った後、彼は保存された個人コンテンツを抽出し、強要をエスカレートさせたと主張されている。
被害者は公開、個人情報の流出、またはさらなるハラスメントで脅迫され、追加の露骨な素材、より多くのアカウントへのアクセス、または金銭的支払いを提供することを強制された。
裁判所の書類に記載されている特に懸念される例では、モズリーは17歳のイリノイ州の被害者に属する侵害されたアカウントを使用して、フロリダ州の女性の13歳の妹に連絡し、彼が彼女の物理的位置を知っていることを示唆するSnapchatマップ画像を送信したと主張されている。
このエスカレーションは、性的脅迫スキームがデジタル操作から暗黙の現実世界の脅迫へどのように進化するかを実証している。
このケースは、欺瞞が正規の認証プロセス内の人間の信頼をどのように悪用し、被害者が虚偽の口実の下で回復認証情報を共有したときに、攻撃者が昇格されたアクセスを獲得できることを実証している。
学校、保護者、およびデジタルセーフティチームにとって、技術的洗練性よりも心理的強制に依存する性的脅迫キャンペーンによってもたらされる継続的な脅威を強調している。
モズリーは脅迫、サイバーストーキング、およびコンピュータ詐欺を含む罪に有罪を認めた。彼は2026年5月に判決を受ける予定である。
性的脅迫リスクを軽減するステップ
性的脅迫とアカウント乗っ取りを防ぐには、組織的な対策と個人の警戒の両方が必要である。
組織が実施できることは何か
組織は、技術的管理、ユーザー教育、および対応準備を組み合わせた階層的なアプローチを取るべきである。
- アプリベースの認証器またはハードウェアキーを使用した多要素認証を強制する、アカウント回復オプションを制限し、異常なログインまたは認証情報のリセット活動を監視する。
- 特に若年層を対象とした構造化されたデジタルセーフティおよびソーシャルエンジニアリング認識プログラムを実装し、性的脅迫事件の明確で機密性の高い報告経路を確立する。
- DNS フィルタリング、プライバシー管理、制限されたメッセージング設定、およびエンドポイント監視などの技術的セーフガードをデプロイして、疑わしいアクセスまたは強制的な活動を検出する。
- ソーシャルメディアの信頼とセーフティチームおよび法執行機関と積極的に調整し、テイクダウンを加速し、事件が発生した場合にデジタル証拠を保存する。
- インシデント対応計画をテーブルトップ演習を通じてテストし、アカウント乗っ取りと性的脅迫シナリオをシミュレートして、迅速な封じ込め、証拠保存、および被害者サポートを確保する。
個人が実施できることは何か
個人は、アカウントセキュリティを強化し、早期に操作戦術を認識することでリスクを軽減できる。
- パスワード、回復コード、またはワンタイムパスコードを誰とも共有しないこと。リクエストが友人または信頼できる連絡先からのものであるように見える場合でも。
- すべてのソーシャルメディアアカウントで多要素認証を有効にし、見知らぬデバイスまたは場所からのログイン活動を定期的に確認する。
- 公開可能な個人情報を制限し、なりすまし機会を減らすために未知のユーザーからの直接メッセージを制限する。
- 予期しないアカウントアクセスリクエストを一時停止して確認し、応答する前に別の信頼できる通信チャネルを通じてその人に連絡する。
これらのステップが一緒に、アカウント侵害の可能性を減らしながら、ソーシャルエンジニアリング攻撃が発生した場合の対応速度と有効性を向上させるのに役立つ。
性的脅迫は成長し続けるサイバーリスクである
モズリーの有罪認否は1つのケースで責任をもたらすが、性的脅迫の広範な脅威は、技術的悪用ではなく人間の操作に駆動される継続的な課題である。
このケースが示すように、攻撃者は信頼を悪用し、正規のアカウント回復機能を誤用することで成功することが多く、認識と階層的な防御が不可欠である。
家族、学校、組織にとって同様に、継続的な教育、より強力な認証慣行、および明確な報告経路は、被害を軽減し、事件が発生した場合に被害者をサポートするために重要である。
これらの取り組みをサポートするため、組織はIDの保護、脅威検出、およびリスク軽減ソリューションを専門とするリーディングサイバーセキュリティ企業に目を向けている。
翻訳元: https://www.esecurityplanet.com/threats/alabama-sextortion-case-involved-hundreds-of-victims/
