盗まれた個人情報はダークウェブ市場でどう扱われるのか、Comparitechが調査：米国人よりも日本人の情報が高値で売買

比較サイトComparitech.comは、盗まれた個人情報の価格を調査した結果を発表した。盗難クレジットカードやハッキングされたPayPalアカウント、社会保障番号などが40以上のダークウェブ市場でどう扱われているのかが分かる。

[＠IT]

　英国のComparitechが運営する比較サイトComparitech.comは2021年1月20日（英国時間）、盗み出された個人情報の価格を調査した結果を発表した。40以上のダークウェブ市場を比較した結果、盗難クレジットカードやハッキングされたPayPalアカウント、社会保障番号などの価格は少数の要因によって価格が左右されることが分かったという。

　調査結果のハイライトは次の通りだ。

• 米国人の「fullz」（なりすましや詐欺など犯罪に利用できる個人データ一式）の価格は、レコード1件当たり平均8ドルであり最も安かった。日本人とアラブ首長国連邦（UAE）、欧州の国民のfullzは平均25ドルで、最も高い
• 盗難クレジットカードの価格は、1枚当たり0.11〜986ドルであり、価格が大きくばらついていた
• ハッキングされたPayPalアカウントの価格は、5〜1767ドル
• 盗難クレジットカードの発行国別内訳を見ると、米国が圧倒的に多く、英国がこれに続く。これを反映して、米国で発行された盗難クレジットカードの平均価格は1.50ドル、英国は2.50ドルといずれも安い
• 盗難クレジットカードの信用限度の中央値は、カード価格の約24倍
• PayPalアカウントの残高の中央値は、PayPalアカウントのダークウェブでの価格の約32倍

被害者の国籍が価格に大きく影響する

　fullzの価格を左右する要因は大きく2つある。クレジットカードと同様に、まず被害者の国籍が大きく影響する。

被害者の国籍別に分類したfullzの価格（単位：ドル）（出典：Comparitech.com）

　次に追加情報がfullzの価格を左右する。fullzには一般に、社会保障番号（SSN）や氏名、誕生日が含まれる。他にどのような情報が含まれるかによって、fullzの価格が変わる。例えば、運転免許番号や銀行口座の明細、公共料金の請求情報が含まれると、価格が高くなる。

ダークウェブでのfullzの販売例（単位：ドル）（出典：Comparitech.com）

　一部のfullzには、パスポートや運転免許証といったIDカードの写真やスキャン画像も含まれていた。

クレジットカードとPayPal　ダークウェブではどちらが高価か

　クレジットカードは、ダークウェブで売られている盗難決済データの中で最大の割合を占めていた。これに続くのがPayPalアカウントだ。Comparitechは、これらの価格を左右する幾つかの要因も調査した。

　盗難クレジットカードは個別に、またはまとめて販売されている。まとめ販売の場合、ひとまとまりのカードは「ダンプ」と呼ばれる。ダンプには数十、数百、さらには数千のクレジットカード情報が含まれており、通常、これらは同じ入手先から得たものだ。例えば、1回の大規模なデータ侵害や、不用心なガソリンスタンドに設置されたカードスキマーといった具合だ。

ダークウェブのクレジットカード販売画面（出典：Comparitech.com）

　一般的に、ダンプとして販売されるクレジットカード1枚当たりの価格は、個別に売られる場合の少なくとも半額になっており、安い。

クレジットカード価格に大きく影響する発行国

　サイバーセキュリティ企業のSixgillによると、盗難クレジットカードのほぼ3分の2は、米国で発行されたものだ。他の国が占める割合は、いずれも10％以下と少ない。米国に次いで高い割合を占める国は英国だった。

発行国別のクレジットカードの平均価格（単位：ドル）（出典：Comparitech.com）

　盗難クレジットカードの発行国別の割合で1、2位を占める米国と英国が、盗難クレジットカードの発行国別で見た価格でも、安さで1、2位となっている。最も高価な盗難クレジットカードは、欧州連合加盟国で発行されたものだ（8ドル）。

クレジットカード番号（黄色）とfullz（青）、ダンブ（赤）の価格（単位：ドル）（出典：Comparitech.com）

　ハッキングされたPayPalアカウントについては、ダークウェブ市場で通常、国に関する情報が掲載されていないため、国別の比較はできなかったという。

カード情報が多いほど高価になる

　クレジットカード番号しか分からない盗難情報は価格が最も安く、1枚当たり11セントだ。ただし番号だけでも犯罪者には役立つという。特別なハードウェアを使用して、カードの単純な磁気ストライプの複製を偽造し、磁気ストリップリーダーをいまだに使用している場所で悪用する可能性があるからだ。例えば、米国のガソリンスタンドの一部には、磁気ストリップリーダーのみが備え付けられている。

　保有者名やセキュリティコード（CVV）、郵便番号、有効期限といった情報が加わると、盗難クレジットカードの価格はより高くなる。

盗難クレジットカードサイトの購入画面　有効期間の情報もある（出典：Comparitech.com）

　ほとんどの盗難クレジットカード情報は、非対面取引（CNP）で使われる。オンライン購入はほぼ全てCNPであり、CNPの決済では多くの場合、上に挙げた情報が全て必要になる。

盗品の残高と信用限度は関係がなかった

　Comparitechは、ダークウェブ市場でクレジットカードの信用限度やデビットカード、銀行口座、PayPalアカウントの残高が掲載されていた場合、それらを記録に取り、販売されている個々のアイテムの最大投資収益率を計算した。

　盗難クレジットカードの信用限度の中央値は、カード価格の24倍。PayPalアカウントの残高の中央値は、ダークウェブにおけるPayPalアカウントの価格の32倍だ。このことが、PayPalアカウントの方がクレジットカードより平均価格が高い理由を説明している。

　だが意外にも、盗難クレジットカーの価格は、信用限度と相関していなかった（相関係数r＝−0.2、ほとんど相関がない）。サイバー犯罪者は、盗難クレジットカードの信用限度が高いからといって、高値で買う値打ちはないと考えているようだ。

　PayPalアカウントの残高も、価格との相関はあまり高くなかった（r＝0.46、正の相関）。

盗人にも信用が必要

　闇市場のベンダーは、顧客を満足させようとする強い動機がある。評判や肯定的なフィードバックがベンダーの成功に大きな役割を果たす。信頼できると考えられる商品やサービスを、多くの顧客が高値で買ってもよいと考えているからだ。

　例えば、今回の調査で、あるベンダーがPayPalアカウントを811ドルで販売していた。そのベンダーはこのアカウントについて、4800〜5200ユーロの残高を約束し、チャージバック（支払い拒絶）が発生した場合は、48時間以内に交換することを保証していた。顧客はこのアカウントを受け渡す日時をリクエストできる。残高が不十分なアカウントだった場合は、ベンダーがそのアカウントの取引を分割してくれるという。Comparitechはほとんどの銀行よりも、この犯罪者サービスの方が「顧客対応がよい」と皮肉を語っている。

どうすれば情報の盗難を防ぐことができるのか

　ダークウェブ市場で売買されているデータのほとんどは、フィッシングやクレデンシャルスタッフィング（パスワードリスト型攻撃）、データ侵害、カードスキマーなどを用いて盗み出されているという。

　Comparitechによれば、エンドユーザーがデータ侵害に対してできることは2つある。まずアカウントの登録数を減らすことだ。次にデジタルフットプリントを最小限に抑えることだ。具体的には次のような注意が必要だ

• （海外旅行の際に）ガソリンスタンドのような無人のカードスキマーに注意する
• フィッシングメールやその他のメッセージの見分け方と回避方法を学ぶ
• 全てのアカウントに強力で使い回しのないパスワードを使用することで、クレデンシャルスタッフィングを回避できる

　Comparitechは言及していないものの、クレジットカードから目を離さないことや、利用履歴を毎月確認することもサイバー犯罪の被害を減らすことに役立つ。