盗まれた個人情報はダークウェブ市場でどう扱われるのか、Comparitechが調査:米国人よりも日本人の情報が高値で売買
比較サイトComparitech.comは、盗まれた個人情報の価格を調査した結果を発表した。盗難クレジットカードやハッキングされたPayPalアカウント、社会保障番号などが40以上のダークウェブ市場でどう扱われているのかが分かる。
英国のComparitechが運営する比較サイトComparitech.comは2021年1月20日(英国時間)、盗み出された個人情報の価格を調査した結果を発表した。40以上のダークウェブ市場を比較した結果、盗難クレジットカードやハッキングされたPayPalアカウント、社会保障番号などの価格は少数の要因によって価格が左右されることが分かったという。
調査結果のハイライトは次の通りだ。
- 米国人の「fullz」(なりすましや詐欺など犯罪に利用できる個人データ一式)の価格は、レコード1件当たり平均8ドルであり最も安かった。日本人とアラブ首長国連邦(UAE)、欧州の国民のfullzは平均25ドルで、最も高い
- 盗難クレジットカードの価格は、1枚当たり0.11〜986ドルであり、価格が大きくばらついていた
- ハッキングされたPayPalアカウントの価格は、5〜1767ドル
- 盗難クレジットカードの発行国別内訳を見ると、米国が圧倒的に多く、英国がこれに続く。これを反映して、米国で発行された盗難クレジットカードの平均価格は1.50ドル、英国は2.50ドルといずれも安い
- 盗難クレジットカードの信用限度の中央値は、カード価格の約24倍
- PayPalアカウントの残高の中央値は、PayPalアカウントのダークウェブでの価格の約32倍
被害者の国籍が価格に大きく影響する
fullzの価格を左右する要因は大きく2つある。クレジットカードと同様に、まず被害者の国籍が大きく影響する。
次に追加情報がfullzの価格を左右する。fullzには一般に、社会保障番号(SSN)や氏名、誕生日が含まれる。他にどのような情報が含まれるかによって、fullzの価格が変わる。例えば、運転免許番号や銀行口座の明細、公共料金の請求情報が含まれると、価格が高くなる。
一部のfullzには、パスポートや運転免許証といったIDカードの写真やスキャン画像も含まれていた。
クレジットカードとPayPal ダークウェブではどちらが高価か
クレジットカードは、ダークウェブで売られている盗難決済データの中で最大の割合を占めていた。これに続くのがPayPalアカウントだ。Comparitechは、これらの価格を左右する幾つかの要因も調査した。
盗難クレジットカードは個別に、またはまとめて販売されている。まとめ販売の場合、ひとまとまりのカードは「ダンプ」と呼ばれる。ダンプには数十、数百、さらには数千のクレジットカード情報が含まれており、通常、これらは同じ入手先から得たものだ。例えば、1回の大規模なデータ侵害や、不用心なガソリンスタンドに設置されたカードスキマーといった具合だ。
一般的に、ダンプとして販売されるクレジットカード1枚当たりの価格は、個別に売られる場合の少なくとも半額になっており、安い。
クレジットカード価格に大きく影響する発行国
サイバーセキュリティ企業のSixgillによると、盗難クレジットカードのほぼ3分の2は、米国で発行されたものだ。他の国が占める割合は、いずれも10%以下と少ない。米国に次いで高い割合を占める国は英国だった。
盗難クレジットカードの発行国別の割合で1、2位を占める米国と英国が、盗難クレジットカードの発行国別で見た価格でも、安さで1、2位となっている。最も高価な盗難クレジットカードは、欧州連合加盟国で発行されたものだ(8ドル)。
ハッキングされたPayPalアカウントについては、ダークウェブ市場で通常、国に関する情報が掲載されていないため、国別の比較はできなかったという。
カード情報が多いほど高価になる
クレジットカード番号しか分からない盗難情報は価格が最も安く、1枚当たり11セントだ。ただし番号だけでも犯罪者には役立つという。特別なハードウェアを使用して、カードの単純な磁気ストライプの複製を偽造し、磁気ストリップリーダーをいまだに使用している場所で悪用する可能性があるからだ。例えば、米国のガソリンスタンドの一部には、磁気ストリップリーダーのみが備え付けられている。
保有者名やセキュリティコード(CVV)、郵便番号、有効期限といった情報が加わると、盗難クレジットカードの価格はより高くなる。
ほとんどの盗難クレジットカード情報は、非対面取引(CNP)で使われる。オンライン購入はほぼ全てCNPであり、CNPの決済では多くの場合、上に挙げた情報が全て必要になる。
盗品の残高と信用限度は関係がなかった
Comparitechは、ダークウェブ市場でクレジットカードの信用限度やデビットカード、銀行口座、PayPalアカウントの残高が掲載されていた場合、それらを記録に取り、販売されている個々のアイテムの最大投資収益率を計算した。
盗難クレジットカードの信用限度の中央値は、カード価格の24倍。PayPalアカウントの残高の中央値は、ダークウェブにおけるPayPalアカウントの価格の32倍だ。このことが、PayPalアカウントの方がクレジットカードより平均価格が高い理由を説明している。
だが意外にも、盗難クレジットカーの価格は、信用限度と相関していなかった(相関係数r=−0.2、ほとんど相関がない)。サイバー犯罪者は、盗難クレジットカードの信用限度が高いからといって、高値で買う値打ちはないと考えているようだ。
PayPalアカウントの残高も、価格との相関はあまり高くなかった(r=0.46、正の相関)。
盗人にも信用が必要
闇市場のベンダーは、顧客を満足させようとする強い動機がある。評判や肯定的なフィードバックがベンダーの成功に大きな役割を果たす。信頼できると考えられる商品やサービスを、多くの顧客が高値で買ってもよいと考えているからだ。
例えば、今回の調査で、あるベンダーがPayPalアカウントを811ドルで販売していた。そのベンダーはこのアカウントについて、4800〜5200ユーロの残高を約束し、チャージバック(支払い拒絶)が発生した場合は、48時間以内に交換することを保証していた。顧客はこのアカウントを受け渡す日時をリクエストできる。残高が不十分なアカウントだった場合は、ベンダーがそのアカウントの取引を分割してくれるという。Comparitechはほとんどの銀行よりも、この犯罪者サービスの方が「顧客対応がよい」と皮肉を語っている。
どうすれば情報の盗難を防ぐことができるのか
ダークウェブ市場で売買されているデータのほとんどは、フィッシングやクレデンシャルスタッフィング(パスワードリスト型攻撃)、データ侵害、カードスキマーなどを用いて盗み出されているという。
Comparitechによれば、エンドユーザーがデータ侵害に対してできることは2つある。まずアカウントの登録数を減らすことだ。次にデジタルフットプリントを最小限に抑えることだ。具体的には次のような注意が必要だ
- (海外旅行の際に)ガソリンスタンドのような無人のカードスキマーに注意する
- フィッシングメールやその他のメッセージの見分け方と回避方法を学ぶ
- 全てのアカウントに強力で使い回しのないパスワードを使用することで、クレデンシャルスタッフィングを回避できる
Comparitechは言及していないものの、クレジットカードから目を離さないことや、利用履歴を毎月確認することもサイバー犯罪の被害を減らすことに役立つ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策
ECサイトやWebサービスでセキュリティインシデントを起こさないためには何をすればいいのか。2019年12月に開かれた「PHP Conference Japan 2019」で徳丸浩氏が、架空企業で起きたセキュリティインシデントを例に、その対策方法を紹介した。
「クレジットカード情報の非保持化は、脆弱性があれば意味がない」――徳丸浩氏が指摘
日本PHPユーザ会が開催した「PHP Conference 2018」でEGセキュアソリューションズの徳丸浩氏は、ECサイトのセキュリティ対策として「クレジットカード情報を保存しない(非保持化)」を推奨する動向に対し、「脆弱(ぜいじゃく)性があれば意味がない」と指摘する。
Microsoft、サイバーセキュリティ年次レポート「Digital Defense Report」を公開
サイバーセキュリティ動向に関するMicrosoftの年次レポート「Digital Defense Report」は、攻撃者がこの1年間に手口を急速に巧妙化させているために、攻撃の検知が困難になったこと、セキュリティに詳しい人をも脅かしていることを明らかにした。最も基本的な対策の一つが多要素認証(MFA)だという。