4000円のクレカ、2万円のゲームアカウント ダークWebで値付けされる“個人の価値”：あなたのアカウントはいくら？

あなたのアカウントはいくらで売られているのか。ダークWebで売買される7万件超のデータ分析から、身近なサービスの“価格”が浮かび上がった。安価にばらまかれる情報と、高値で狙われる資産。その差が示す本当のリスクとは何か。

[田渕聖人，＠IT]

　NordVPNは2026年4月21日、脅威エクスポージャー管理プラットフォーム「NordStellar」と共同で、ダークWebマーケットプレースの約7万5000件の出品情報を分析した結果を発表した。

　同調査から、SNSや動画配信サービス、クレジットカードなど、日常的に使うオンラインアカウントの多くがダークWebで出品されて売買されている実態が明らかになった。これらの中でも日本のクレジットカード情報は中央値27ドル（約4000円）と全世界でも最高値水準にあることが判明している。なお、個人の特定につながるデータは一切含まれていない。

クレジットカード情報は4000円　ダークWebでのデータ売買の実態

　盗まれた日本のクレジットカード情報の中央値は27ドル（約4000円）で、世界で最も高い水準となった。日本やシンガポールなど、流通量が少ない国のデータは希少性が高く、プレミアム価格で取引される傾向があるという。

　一方で米国のクレジットカード情報は流通量が多く「コモディティ化」が進んでおり、価格は比較的安価になっている。盗まれたクレジットカード情報の出品の70％以上が北米由来であり、アジア由来はわずか4.8％だった。

　個人のメールアカウントは1件当たり約1ドル（約150円）で大量流通しているが、企業アカウントの認証情報はより高値で取引されている。日本の「Microsoft 365」アカウントは中央値26.50ドル（約3900円）、「GoDaddy」アカウントは最大29.50ドル（約4360円）で取引されており、企業ネットワークへの侵入口として悪用されるリスクが高い。

　実際、ロシアを拠点とするRaaS（Ransomware as a Service）グループの「Qilin（キリン）」はランサムウェア攻撃の初期侵入にダークWebで購入した既存のアカウント情報も悪用していることが分かっている。

• 日本はアジア最大の標的　Qilinを筆頭とする新興RaaSの最新攻撃戦術（＠IT）

　この他、ダークWebではSNSや動画配信サービス、ゲームアカウントなども広く売買されている。SNSアカウントは「Facebook」が約38ドル（約5600円）、「TikTok」が約60ドル（約8900円）、「Instagram」が約40ドル（約5900円）で取引されていた。

　また、動画配信サービスは「Netflix」が約4.55ドル（約670円）と低価格で流通しており、第三者が容易に他人のアカウントにアクセスできる状況が生まれている。ゲームアカウントでは「Steam」が約80ドル（約1万1800円）、「PlayStation Network」が約150ドル（約2万2200円）と高値が付くケースも確認されている。さらに販売者は「保証付き」などのサービスを掲げるなど、取引が一定の仕組みで実施されている実態も明らかになった。

　暗号資産取引所のアカウントは、ダークWebで最も高額な商品の一つだ。「Coinbase」は中央値107.50ドル（約15900円）、「Binance」は160ドル（約23700円）で取引されている。盗まれたクレジットカード情報の場合、不正利用後に資金洗浄などの工程が必要となる一方で、暗号資産アカウントは不正アクセスによって直接資産にアクセスできる可能性があるため、犯罪者にとってより価値の高い対象となっている。

自分の情報がダークWebにまん延しないためにできる4つのこと

　NordVPNの最高技術責任者（CTO）であるマリユス・ブリエディス氏はリスクを軽減するために4つの対策を推奨している。

　1つ目は、ダークWebモニタリングツールで自分のデータを把握することだ。自分のデータがダークWebに掲載された際にアラートで通知するようなソリューションを導入し、被害発生前に対処することが、リスク軽減の第一歩だ。

　2つ目は、全てのアカウントにパスワードを使い分けて多要素認証（MFA）を設定することだ。信頼できるパスワードマネジャーを使用して、各アカウントに固有のパスワードを設定する。MFAの設定も有効化だ。また最近は、保存不要のパスワード生成技術「HIPPO（Hidden-Password Online Password）」も登場している。

• パスワード管理は「覚えない」から「保存しない」に　注目の新技術「HIPPO」とは？（＠IT）

　3つ目は、オンラインで共有する個人情報を最小限に抑えることだ。不要なCookieやトラッカーを無効にし、機密データの提供は避けるのが重要だ。これに関連して、生成AIに不用意に機密データを共有するのもセキュリティリスクを高める一因だ。

• 4分の1の生成AIアプリが“静かに事故る”　MCP時代の落とし穴をGartnerが指摘（＠IT）

　4つ目は、銀行の取引明細を定期的に確認することだ。小額の不審な請求は、より大規模な攻撃の前兆である場合がある。取引通知を有効にしておくことも防御力の強化につながるだろう。CEOを装った詐欺なども流行している昨今、個人・組織ともにお金の動きには敏感になるようにしたい。

• 【実録】自社に届いたCEO詐欺メールを徹底解析　狙われる企業に共通する3つの「隙」（＠IT）

　ブリエディス氏「サイバー犯罪は、もはや高度な専門知識を持つ一部の人間だけのものではありません。盗まれたデータは市場で流通し、誰でも利用できる形になっています。ユーザーは自身の情報がどこでどのように扱われているのかを把握し、基本的なセキュリティ対策を徹底することが重要です」と語った。

　生成AIの力によって、サイバー攻撃やそれに向けた情報収集が比較的安価に実行できるようになっている。攻撃が高度化している前提でわれわれも防御を組み立てる必要があるだろう。

• Claude Opusを使い36万円でサイバー攻撃を“開発”　Discordを標的に検証した結果（＠IT）

　なお、NordVPNは自身が利用しているアカウントや文書がダークWebでいくらで売買されているかを確認できる計算ツールを公開しているためチェックしてほしい。