盗まれた個人情報はダークウェブ市場でどう扱われるのか、Comparitechが調査：米国人よりも日本人の情報が高値で売買

比較サイトComparitech.comは、盗まれた個人情報の価格を調査した結果を発表した。盗難クレジットカードやハッキングされたPayPalアカウント、社会保障番号などが40以上のダークウェブ市場でどう扱われているのかが分かる。

» 2021年01月28日 18時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　英国のComparitechが運営する比較サイトComparitech.comは2021年1月20日（英国時間）、盗み出された個人情報の価格を調査した結果を発表した。40以上のダークウェブ市場を比較した結果、盗難クレジットカードやハッキングされたPayPalアカウント、社会保障番号などの価格は少数の要因によって価格が左右されることが分かったという。

　調査結果のハイライトは次の通りだ。

米国人の「fullz」（なりすましや詐欺など犯罪に利用できる個人データ一式）の価格は、レコード1件当たり平均8ドルであり最も安かった。日本人とアラブ首長国連邦（UAE）、欧州の国民のfullzは平均25ドルで、最も高い
盗難クレジットカードの価格は、1枚当たり0.11～986ドルであり、価格が大きくばらついていた
ハッキングされたPayPalアカウントの価格は、5～1767ドル
盗難クレジットカードの発行国別内訳を見ると、米国が圧倒的に多く、英国がこれに続く。これを反映して、米国で発行された盗難クレジットカードの平均価格は1.50ドル、英国は2.50ドルといずれも安い
盗難クレジットカードの信用限度の中央値は、カード価格の約24倍
PayPalアカウントの残高の中央値は、PayPalアカウントのダークウェブでの価格の約32倍

被害者の国籍が価格に大きく影響する

　fullzの価格を左右する要因は大きく2つある。クレジットカードと同様に、まず被害者の国籍が大きく影響する。

被害者の国籍別に分類したfullzの価格（単位：ドル）（出典：Comparitech.com）

　次に追加情報がfullzの価格を左右する。fullzには一般に、社会保障番号（SSN）や氏名、誕生日が含まれる。他にどのような情報が含まれるかによって、fullzの価格が変わる。例えば、運転免許番号や銀行口座の明細、公共料金の請求情報が含まれると、価格が高くなる。

ダークウェブでのfullzの販売例（単位：ドル）（出典：Comparitech.com）

　一部のfullzには、パスポートや運転免許証といったIDカードの写真やスキャン画像も含まれていた。

クレジットカードとPayPal　ダークウェブではどちらが高価か

　クレジットカードは、ダークウェブで売られている盗難決済データの中で最大の割合を占めていた。これに続くのがPayPalアカウントだ。Comparitechは、これらの価格を左右する幾つかの要因も調査した。

　盗難クレジットカードは個別に、またはまとめて販売されている。まとめ販売の場合、ひとまとまりのカードは「ダンプ」と呼ばれる。ダンプには数十、数百、さらには数千のクレジットカード情報が含まれており、通常、これらは同じ入手先から得たものだ。例えば、1回の大規模なデータ侵害や、不用心なガソリンスタンドに設置されたカードスキマーといった具合だ。

ダークウェブのクレジットカード販売画面（出典：Comparitech.com）

　一般的に、ダンプとして販売されるクレジットカード1枚当たりの価格は、個別に売られる場合の少なくとも半額になっており、安い。

クレジットカード価格に大きく影響する発行国

　サイバーセキュリティ企業のSixgillによると、盗難クレジットカードのほぼ3分の2は、米国で発行されたものだ。他の国が占める割合は、いずれも10％以下と少ない。米国に次いで高い割合を占める国は英国だった。

発行国別のクレジットカードの平均価格（単位：ドル）（出典：Comparitech.com）

　盗難クレジットカードの発行国別の割合で1、2位を占める米国と英国が、盗難クレジットカードの発行国別で見た価格でも、安さで1、2位となっている。最も高価な盗難クレジットカードは、欧州連合加盟国で発行されたものだ（8ドル）。

クレジットカード番号（黄色）とfullz（青）、ダンブ（赤）の価格（単位：ドル）（出典：Comparitech.com）

　ハッキングされたPayPalアカウントについては、ダークウェブ市場で通常、国に関する情報が掲載されていないため、国別の比較はできなかったという。

カード情報が多いほど高価になる

　クレジットカード番号しか分からない盗難情報は価格が最も安く、1枚当たり11セントだ。ただし番号だけでも犯罪者には役立つという。特別なハードウェアを使用して、カードの単純な磁気ストライプの複製を偽造し、磁気ストリップリーダーをいまだに使用している場所で悪用する可能性があるからだ。例えば、米国のガソリンスタンドの一部には、磁気ストリップリーダーのみが備え付けられている。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策
ECサイトやWebサービスでセキュリティインシデントを起こさないためには何をすればいいのか。2019年12月に開かれた「PHP Conference Japan 2019」で徳丸浩氏が、架空企業で起きたセキュリティインシデントを例に、その対策方法を紹介した。
「クレジットカード情報の非保持化は、脆弱性があれば意味がない」――徳丸浩氏が指摘
日本PHPユーザ会が開催した「PHP Conference 2018」でEGセキュアソリューションズの徳丸浩氏は、ECサイトのセキュリティ対策として「クレジットカード情報を保存しない（非保持化）」を推奨する動向に対し、「脆弱（ぜいじゃく）性があれば意味がない」と指摘する。
Microsoft、サイバーセキュリティ年次レポート「Digital Defense Report」を公開
サイバーセキュリティ動向に関するMicrosoftの年次レポート「Digital Defense Report」は、攻撃者がこの1年間に手口を急速に巧妙化させているために、攻撃の検知が困難になったこと、セキュリティに詳しい人をも脅かしていることを明らかにした。最も基本的な対策の一つが多要素認証（MFA）だという。