検索
ニュース

盗まれた個人情報はダークウェブ市場でどう扱われるのか、Comparitechが調査米国人よりも日本人の情報が高値で売買

比較サイトComparitech.comは、盗まれた個人情報の価格を調査した結果を発表した。盗難クレジットカードやハッキングされたPayPalアカウント、社会保障番号などが40以上のダークウェブ市場でどう扱われているのかが分かる。

Share
Tweet
LINE
Hatena

 英国のComparitechが運営する比較サイトComparitech.comは2021年1月20日(英国時間)、盗み出された個人情報の価格を調査した結果を発表した。40以上のダークウェブ市場を比較した結果、盗難クレジットカードやハッキングされたPayPalアカウント、社会保障番号などの価格は少数の要因によって価格が左右されることが分かったという。

 調査結果のハイライトは次の通りだ。

  • 米国人の「fullz」(なりすましや詐欺など犯罪に利用できる個人データ一式)の価格は、レコード1件当たり平均8ドルであり最も安かった。日本人とアラブ首長国連邦(UAE)、欧州の国民のfullzは平均25ドルで、最も高い
  • 盗難クレジットカードの価格は、1枚当たり0.11〜986ドルであり、価格が大きくばらついていた
  • ハッキングされたPayPalアカウントの価格は、5〜1767ドル
  • 盗難クレジットカードの発行国別内訳を見ると、米国が圧倒的に多く、英国がこれに続く。これを反映して、米国で発行された盗難クレジットカードの平均価格は1.50ドル、英国は2.50ドルといずれも安い
  • 盗難クレジットカードの信用限度の中央値は、カード価格の約24倍
  • PayPalアカウントの残高の中央値は、PayPalアカウントのダークウェブでの価格の約32倍

被害者の国籍が価格に大きく影響する

 fullzの価格を左右する要因は大きく2つある。クレジットカードと同様に、まず被害者の国籍が大きく影響する。


被害者の国籍別に分類したfullzの価格(単位:ドル)(出典:Comparitech.com

 次に追加情報がfullzの価格を左右する。fullzには一般に、社会保障番号(SSN)や氏名、誕生日が含まれる。他にどのような情報が含まれるかによって、fullzの価格が変わる。例えば、運転免許番号や銀行口座の明細、公共料金の請求情報が含まれると、価格が高くなる。


ダークウェブでのfullzの販売例(単位:ドル)(出典:Comparitech.com

 一部のfullzには、パスポートや運転免許証といったIDカードの写真やスキャン画像も含まれていた。

クレジットカードとPayPal ダークウェブではどちらが高価か

 クレジットカードは、ダークウェブで売られている盗難決済データの中で最大の割合を占めていた。これに続くのがPayPalアカウントだ。Comparitechは、これらの価格を左右する幾つかの要因も調査した。

 盗難クレジットカードは個別に、またはまとめて販売されている。まとめ販売の場合、ひとまとまりのカードは「ダンプ」と呼ばれる。ダンプには数十、数百、さらには数千のクレジットカード情報が含まれており、通常、これらは同じ入手先から得たものだ。例えば、1回の大規模なデータ侵害や、不用心なガソリンスタンドに設置されたカードスキマーといった具合だ。


ダークウェブのクレジットカード販売画面(出典:Comparitech.com

 一般的に、ダンプとして販売されるクレジットカード1枚当たりの価格は、個別に売られる場合の少なくとも半額になっており、安い。

クレジットカード価格に大きく影響する発行国

 サイバーセキュリティ企業のSixgillによると、盗難クレジットカードのほぼ3分の2は、米国で発行されたものだ。他の国が占める割合は、いずれも10%以下と少ない。米国に次いで高い割合を占める国は英国だった。


発行国別のクレジットカードの平均価格(単位:ドル)(出典:Comparitech.com

 盗難クレジットカードの発行国別の割合で1、2位を占める米国と英国が、盗難クレジットカードの発行国別で見た価格でも、安さで1、2位となっている。最も高価な盗難クレジットカードは、欧州連合加盟国で発行されたものだ(8ドル)。


クレジットカード番号(黄色)とfullz(青)、ダンブ(赤)の価格(単位:ドル)(出典:Comparitech.com

 ハッキングされたPayPalアカウントについては、ダークウェブ市場で通常、国に関する情報が掲載されていないため、国別の比較はできなかったという。

カード情報が多いほど高価になる

 クレジットカード番号しか分からない盗難情報は価格が最も安く、1枚当たり11セントだ。ただし番号だけでも犯罪者には役立つという。特別なハードウェアを使用して、カードの単純な磁気ストライプの複製を偽造し、磁気ストリップリーダーをいまだに使用している場所で悪用する可能性があるからだ。例えば、米国のガソリンスタンドの一部には、磁気ストリップリーダーのみが備え付けられている。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  2. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  3. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  4. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  5. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  6. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  7. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  8. 従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?
  9. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  10. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
ページトップに戻る