比較サイトComparitech.comは、盗まれた個人情報の価格を調査した結果を発表した。盗難クレジットカードやハッキングされたPayPalアカウント、社会保障番号などが40以上のダークウェブ市場でどう扱われているのかが分かる。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
英国のComparitechが運営する比較サイトComparitech.comは2021年1月20日(英国時間)、盗み出された個人情報の価格を調査した結果を発表した。40以上のダークウェブ市場を比較した結果、盗難クレジットカードやハッキングされたPayPalアカウント、社会保障番号などの価格は少数の要因によって価格が左右されることが分かったという。
調査結果のハイライトは次の通りだ。
fullzの価格を左右する要因は大きく2つある。クレジットカードと同様に、まず被害者の国籍が大きく影響する。
次に追加情報がfullzの価格を左右する。fullzには一般に、社会保障番号(SSN)や氏名、誕生日が含まれる。他にどのような情報が含まれるかによって、fullzの価格が変わる。例えば、運転免許番号や銀行口座の明細、公共料金の請求情報が含まれると、価格が高くなる。
一部のfullzには、パスポートや運転免許証といったIDカードの写真やスキャン画像も含まれていた。
クレジットカードは、ダークウェブで売られている盗難決済データの中で最大の割合を占めていた。これに続くのがPayPalアカウントだ。Comparitechは、これらの価格を左右する幾つかの要因も調査した。
盗難クレジットカードは個別に、またはまとめて販売されている。まとめ販売の場合、ひとまとまりのカードは「ダンプ」と呼ばれる。ダンプには数十、数百、さらには数千のクレジットカード情報が含まれており、通常、これらは同じ入手先から得たものだ。例えば、1回の大規模なデータ侵害や、不用心なガソリンスタンドに設置されたカードスキマーといった具合だ。
一般的に、ダンプとして販売されるクレジットカード1枚当たりの価格は、個別に売られる場合の少なくとも半額になっており、安い。
サイバーセキュリティ企業のSixgillによると、盗難クレジットカードのほぼ3分の2は、米国で発行されたものだ。他の国が占める割合は、いずれも10%以下と少ない。米国に次いで高い割合を占める国は英国だった。
盗難クレジットカードの発行国別の割合で1、2位を占める米国と英国が、盗難クレジットカードの発行国別で見た価格でも、安さで1、2位となっている。最も高価な盗難クレジットカードは、欧州連合加盟国で発行されたものだ(8ドル)。
ハッキングされたPayPalアカウントについては、ダークウェブ市場で通常、国に関する情報が掲載されていないため、国別の比較はできなかったという。
クレジットカード番号しか分からない盗難情報は価格が最も安く、1枚当たり11セントだ。ただし番号だけでも犯罪者には役立つという。特別なハードウェアを使用して、カードの単純な磁気ストライプの複製を偽造し、磁気ストリップリーダーをいまだに使用している場所で悪用する可能性があるからだ。例えば、米国のガソリンスタンドの一部には、磁気ストリップリーダーのみが備え付けられている。
保有者名やセキュリティコード(CVV)、郵便番号、有効期限といった情報が加わると、盗難クレジットカードの価格はより高くなる。
ほとんどの盗難クレジットカード情報は、非対面取引(CNP)で使われる。オンライン購入はほぼ全てCNPであり、CNPの決済では多くの場合、上に挙げた情報が全て必要になる。
Comparitechは、ダークウェブ市場でクレジットカードの信用限度やデビットカード、銀行口座、PayPalアカウントの残高が掲載されていた場合、それらを記録に取り、販売されている個々のアイテムの最大投資収益率を計算した。
盗難クレジットカードの信用限度の中央値は、カード価格の24倍。PayPalアカウントの残高の中央値は、ダークウェブにおけるPayPalアカウントの価格の32倍だ。このことが、PayPalアカウントの方がクレジットカードより平均価格が高い理由を説明している。
だが意外にも、盗難クレジットカーの価格は、信用限度と相関していなかった(相関係数r=−0.2、ほとんど相関がない)。サイバー犯罪者は、盗難クレジットカードの信用限度が高いからといって、高値で買う値打ちはないと考えているようだ。
PayPalアカウントの残高も、価格との相関はあまり高くなかった(r=0.46、正の相関)。
闇市場のベンダーは、顧客を満足させようとする強い動機がある。評判や肯定的なフィードバックがベンダーの成功に大きな役割を果たす。信頼できると考えられる商品やサービスを、多くの顧客が高値で買ってもよいと考えているからだ。
例えば、今回の調査で、あるベンダーがPayPalアカウントを811ドルで販売していた。そのベンダーはこのアカウントについて、4800〜5200ユーロの残高を約束し、チャージバック(支払い拒絶)が発生した場合は、48時間以内に交換することを保証していた。顧客はこのアカウントを受け渡す日時をリクエストできる。残高が不十分なアカウントだった場合は、ベンダーがそのアカウントの取引を分割してくれるという。Comparitechはほとんどの銀行よりも、この犯罪者サービスの方が「顧客対応がよい」と皮肉を語っている。
ダークウェブ市場で売買されているデータのほとんどは、フィッシングやクレデンシャルスタッフィング(パスワードリスト型攻撃)、データ侵害、カードスキマーなどを用いて盗み出されているという。
Comparitechによれば、エンドユーザーがデータ侵害に対してできることは2つある。まずアカウントの登録数を減らすことだ。次にデジタルフットプリントを最小限に抑えることだ。具体的には次のような注意が必要だ
Comparitechは言及していないものの、クレジットカードから目を離さないことや、利用履歴を毎月確認することもサイバー犯罪の被害を減らすことに役立つ。
Copyright © ITmedia, Inc. All Rights Reserved.