個人情報の闇市場価格はどのくらい?『2018年サイバー犯罪者のショッピングリスト』
「クラウド コンピューティングへの移行」をキーワードに幅広いIT関連コンサルティングサービスを提供するDELLグループのEMCジャパン株式会社(以下「EMCジャパン」)は、RSA AFCC(Anti-Fraud Command Center:不正対策指令センター、以下「RSA AFCC」)が出しているネット上での個人情報保護に関する情報をまとめ、公表した。
深刻化するサイバー犯罪
日本でもインターネットが一般に浸透して20年以上が経過するが、ビジネスの隆盛や増大するトラフィックなどさらに活況を呈するネットの世界だが、その歴史は悪意あるハッカーなどサイバー犯罪者との戦いの歴史でもあった。
少し前であれば「ばらまき型」のコンピューターウイルスが猛威を振るっていたし、Dos攻撃も盛んであった。近年はそれに加えて、「標的型攻撃」と言われるような特定の企業やサイト、サービスを狙った巧妙な攻撃が台頭している。企業があいついで「ばらまき型」やDos攻撃に対応していく中で攻撃者の側が常にやり方を変えてきているとも言える。
標的型攻撃の脅威
標的型攻撃の恐ろしいところは、一度攻撃が成功してしまうと、氏名や住所ばかりでなく、購入履歴やクレジットカード情報など、重要かつ大量の個人情報が一気に流出する点だ。
最近発生した大規模な情報漏洩事件は、個人情報の流出がもたらす広範囲な影響を改めて浮き彫りにしている。サイバー犯罪者は、標的サイトに存在するアカウント情報だけを手中に収めようとしているわけではない。アカウント情報だけでは金銭的な利益がほとんど、またはすぐに得られない可能性があるからだ。
攻撃する側は、多くのユーザーが複数のサイトで同じパスワードを使用しているという事実を逆手に取り、そのようなユーザーを狙って認証情報を手に入れ、人気のEコマースサイト、送金サイト、ゲームサイトなど別のサイトで不正利用して利益を得ようとしているのである。
盗んだ認証情報が使えることが判ると、その認証情報を使って物品を購入したり、あるいは不正に送金したり、別のサイバー犯罪者に認証情報を転売することすらあり得る。そうなると転売先でも同様な事象が再発してしまうから影響は大きく、また深刻だ。
闇市場で取引される個人情報の価格はどのくらい?
EMCジャパン社によれば、RSA FACCは、「2018 Cybercriminal Shopping List(盗まれた個人情報の闇市場価格)」 についてまとめている。闇市場における小売業界、ソーシャル/Web業界、旅行/レジャー業界、金融業界、テクノロジー業界それぞれのサービスや企業が保有する会員、顧客のアカウント認証情報について、闇市場での売買相場を表わしたものだ。
価格はアカウント本人が利用しているブランド(店、サイト、企業など)やサービスの種類、決済用カード情報の有無などにより、価格は数セントから最大15米ドルとなっている。
SNSやWeb業界では、最も高い値がついている出会い系サイト(デートサイト)が目を引く。デートサイトの会員は、自身のプロファイルを登録しており、それがソーシャルエンジニアリングの好材料であること、また、ある人気の高い会員の情報を不正に入手し本人と偽って「今月ちょっとお金が足りないから助けて欲しい」といった内容で複数の会員から金品を騙し取ることもあるそうだ。これについてRSA AFCCは、出会い系サイトの会員はSNSや電子メールよりも会員の発信内容を信じやすい傾向があるとしている。
また金融業界に関連する個人情報は、その属性から全体に高い値がついている。これはもちろん、認証情報が銀行口座を操作するための情報に直結しており、ソーシャルエンジニアリングや物品を購入して転売する手間とリスクをかけずに、資金移動がすぐに行えることが理由だ。
どうやって個人情報を守ればいいのか
RSA AFCCは、こうした深刻な脅威に対してどう企業が立ち向かうべきか次のような「アカウント保護のためのシンプルな5つのステップ」を公表している。
◆1.盗難データ市場の現実を直視する
盗難データの売買の場である「ダークウェブ」は、基本的にリアルな市場と同じように値動きする。その競争は非常に激しく、市場原理は物やサービスの価格に影響を及ぼす。認証情報の種類ごとに価格が付けられ、サイバー犯罪者はその品揃えに医療記録を追加するなど、必要に応じて品ぞろえを変えるほどだ。ただし、これはダークウェブの中だけの話ではない。こうしたデータの多くは、ほとんどのSNS上などで堂々と売られているのだ。
◆2.セキュリティを強化する
なにか事件があると顕在化するが、個人情報はいとも簡単に盗まれてしまう。ネット化された社会では、デジタルデータは、マーケティングの面でも有用性が高い。一方でデータベースのカラムとして格納されているようなデータだけでなく、SNS上になにげなく掲載されているプロフィールや投稿などから個人情報を収受する方法はいくらでもある。それを防ぐには認証システムなど適切なセキュリティシステムの導入や、運用上の工夫が必要になってくる。
◆3.ネット上の不自然な振る舞いに目を光らせる
企業などと同じように、犯罪者側もネットワークを常により効率的に運用していく方法を探っている。たとえば「認証情報スタッフィングツール(盗んだ認証情報の有効性をスクリプトで自動的に検証するツール)」を使い、ユーザー名とパスワードの組み合わせを瞬時に判定可能だ。アカウント乗っ取り攻撃の前兆となることの多いこの認証情報テストを特定するには、企業は機械的で不自然に高速なふるまいや複数回にわたるログインの失敗、通常のトラフィックからかけ離れたロケーションからのログインの試みに対してWebのセッションを監視する必要がある。
◆4.なりすましとアカウント乗っ取りを特定するために監視する
攻撃する側は、盗んだ認証情報の中から利用可能なアクティブなアカウント情報を悪用して既存アカウントを乗っ取り、不正にアカウントを新規作成することがある。そのため、大規模な情報漏洩が発生した後にアカウントの乗っ取りが急増してもなんら不思議ではない。RSA AFCCのデータサイエンティストは、アカウントの乗っ取りと新規アカウント開設に関連した詐欺パターンを調査し、新規アカウント作成後の最初の10日間に乗っ取りの発生率が15倍を超えていることを発見した。新しいデバイスからのログインや、パスワードなどのアカウント情報の変更、銀行や決済サービス・プロバイダー、新しい支払先の追加(この時に不正な支払いの70%が行われる)を監視することにより、既存アカウントでの怪しいふるまいを見分けることができるのだという。
◆5.顧客を啓発する
オンライン・セキュリティに関して、顧客にとって「信頼できるアドバイザー」になるべきだ。例えば、Webサイトのトップページやプロモーションメールで、顧客に安全性に関する情報を提供し、顧客が簡単な手順で怪しい電子メールや製品・サービスを報告できるような仕組みを検討してみるのもいいだろう。オンラインの安全性を気にかけていることを顧客に示すことによって、自社ブランドに対するロイヤルティを高めることができるのだ。
ネット上での不正や攻撃は後を絶たない。いくら企業側が対策をしようにも攻撃する側もさらに新しくかつ巧妙な手段を生み出して来る、そのイタチゴッコは常ともいえる。そうした中でも危機意識の共有や、基本的なセキュリティ対策をほどこした上で、最新の動向を常にキャッチアップする努力は怠るべきでないだろう。なぜならそれが顧客と自身の事業を守ることになるからだ。