盗まれた情報の使われ方(被害実態)
情報漏えい・窃取事件について攻撃者側の視点で、どんな情報がどんな手法で盗まれているのか、盗まれた情報はどう処理されているのかを考えるこの連載。前回は「ダークウェブ」の存在を明らかにし、そこがどのようなウェブなのか、どんな情報がやりとりされているのかを解説しました。第2回の今回は、ダークウェブで見つかる個人情報や取引の実態について、実際の事例などを交えて紹介します。
個人情報はいくらで売られているのか
ダークウェブは、URLがオープンにされておらず標準的なブラウザではたどり着けない領域です。必ずしも犯罪者のためのウェブというわけではありませんが、専用ブラウザで特殊な経路(ルーティング)をたどらないとアクセスできません。
アクセス元をたどりにくく匿名性が非常に高いウェブとなっており、これが犯罪者のかっこうの隠れ蓑になります。そのため、ドラッグやカード情報などを扱う違法商品のマーケットプレイスが多く、ハッカーや犯罪者のコミュニティが多数運営されているのも事実です。
そのような「闇」のECサイトでは、ランサムウェアや攻撃ツールのパッケージや麻薬・ドラッグが簡単に手に入ります。前回説明した、フィッシングや標的型攻撃メールで収集したクレジットカード情報や不正アクセスによって入手した大量のアカウント情報も、多くはここで売買されています。カード情報は、データだけでなく、入手した番号で複製された偽造カードとしても売られています。
ダークウェブのマーケットプレイスでは「Silk Road」というサイトが有名です。2011年から存在していたこの闇サイトは、2013年にFBIによって摘発・閉鎖されられましたが、すぐに「Silk Road 2.0」が立ち上がり、「3.1」「Reloaded」と摘発されるたびに類似マーケットが立ち上がっています。
ダークウェブでの取引は、仮想通貨(ビットコイン)が一般的です。では、個人情報は、どれくらいの値段で売られているのでしょうか。
- メールアドレス・パスワード:1~15ドル
- クレジットカード番号:1~45ドル
- オンライン口座番号:1~100ドル
- パスポート情報:1~35ドル
- 個人情報パック:30~100ドル
上記はあくまで一例ですが、個人情報は大量に出回る時代になっているので、安いものだと1件1ドルくらいでカード番号やアカウント情報が手に入ります。住所氏名や電話番号、SSN(納税者番号・国民ID)、銀行口座番号などがセットになった個人情報パックでも1件3000円ちょっとで売られています。
同じカード番号でも医師や弁護士、経営者など高額所得者の属性であれば値段は高くなります。そういった属性情報がなく売られているものは単価が安くなります。中には、雑多なソースから得たものを単にまとめただけのようなデータ、過去の大規模な漏えい事件のものとみられるデータが、タダでアップロードサイトに上がっていることもあります。
個人情報漏えいで起こりえる被害
ダークウェブで、攻撃ツールや個人情報が販売されている実態をみてきました。攻撃者が個人情報を狙う目的のひとつは、それを販売することで利益を得ることです。しかし、それらを購入する人間がいるということは、犯罪チェーン、攻撃チェーンはここで終わりではありません。
盗まれた個人情報やアカウント情報は、最終的にはどのように利用されるのでしょうか。
わかりやすい例は、なりすましです。業者のアドレスはフィルタリングではじかれやすいので、正規のメールアドレスがあればスパムメールの送信元に利用できます。広告メールではなく、ウイルス添付メールや攻撃サイトへの誘導メールを送ることにも利用されます。近年、実在の人物・取引先のアカウントを装った標的型攻撃、スピアフィッシング、BEC詐欺が問題化していますが、このなりすましにダークウェブで流通しているアカウントが利用されている可能性があります。
クレジットカード情報の漏えいは、そのまま不正利用につながります。銀行の口座情報も同様です。カード情報や口座情報は簡単に金品に変えることができるので、ダークウェブでも単価が高い傾向にあります。大量のメールアカウントがあれば、そのアドレスに対してフィッシングメールを大量にばらまくことで、カード情報、口座番号だけでなく、カードのセキュリティコードや暗証番号までセットで入手できます。
被害状況と事例
2019年の調査データですが、世界10か国におけるサイバー犯罪被害者の1年間の総数は3億5,000万人だといいます。被害者数の最も多い国はインドで1億3,120万人となっています。2位はアメリカで約1億人が被害にあっています。調査対象の国で被害が1億人を超えるのはこの2か国で、3位以降は、5,000万人以下となりますが、日本(2,460万人)、フランス(1,930万人)、イタリア(1,910万人)、ドイツ(1,770万人)、イギリス(1,650万人)と続きます(㈱ノートンライフロック発表 ノートンライフロック サイバーセーフティ インサイトレポート2019)。
個人情報等の漏出についても見てみましょう。国内の大規模な漏えい事件のうち、不正アクセスに関連するものとしてはヤフーの2,200万件のデータが盗まれた事件(2013年)を挙げることができます。2019年には人気のファイル転送サービス(宅ふぁいる便)で480万件以上の個人情報が盗まれ、サービス終了を余儀なくされました。他にもNTTコミュニケーションズの400万件、トヨタ自動車の310万件、といった漏出事件が続きます。
2015年には日本年金機構が125万件もの個人情報がサイバー攻撃によって盗まれました。この事件は、政府機関、関連団体のセキュリティ対策が問題となり、サイバーセキュリティ基本法の改正にも影響を与えました。
海外では、2017年に発覚したEquifaxへのサイバー攻撃の事例が有名です。この事件では1億4,000万件もの個人情報が盗まれました。Equifaxはグローバルで個人の信用情報を提供する企業で、盗まれたデータにはSSN(アメリカの国民ID)や年収などの情報も含まれていました。Uberが5,000万件以上の個人情報を漏えいさせた事件も不正アクセスが原因とされています。
Facebookも2019年に2憶7,000万件以上のユーザー情報が閲覧できる状態だった事件を起こしています。この事例は、サーバー等の設定ミスが原因で、直接サーバーなどに侵入されたわけではありません。しかし、そのデータがハッカーコミュニティにも公開されていたことが問題になりました。
メジャーなサービスが大規模な情報漏えいをしているとなると、それら流出データに自分のアカウントが含まれているのではないか気になります。数千万から億単位のデータが漏れているなら、その可能性は無視できません。
次回は、自分のデータは漏れていないか? それを調べる方法はあるのか? そして漏れていた場合の対策方法について掘り下げます。
プロフィール
中尾真二(ITジャーナリスト)
アスキー(現KADOKAWA)で技術書編集、オライリー・ジャパン編集長を経て独立。
現在はWebメディアを中心に取材・執筆活動を展開。インターネットは、商用解放される前の学術ネットワークの時代から使っている。エレクトロニクス、コンピュータのバックグラウンドを活かし、セキュリティ、オートモーティブ(CASE/MaaS)、教育関係の記事・コラムを扱う。関連分野では、企業研修やセミナー講師としても活動中。