インテル セキュリティでは、 今月調査レポート 『目に見えないデータの経済性』を公開しました。さまざまなタイプの盗まれたデータが、どのようなデータタイプごとにパッケージ化され、価格が付けられているかの事例を掲載しています。
インテル セキュリティグループの組織であるMcAfee Labs(McAfee Labs)は、盗まれたクレジットカードおよびデビットカードのデータ、銀行口座のログイン認証情報、地下銀行の振り込みサービス、オンライン支払いサービスのログイン認証情報、プレミアムコンテンツサービスのログイン認証情報、企業ネットワークのログイン認証情報、ホテルおよびロイヤルティサービスのアカウントのログイン認証情報、オンラインオークションのアカウントのログイン認証情報について、盗難データの価格を調査しました。
「規制はないが効率的な経済活動のように、犯罪行為を切望している誰にでも、多くのツールやサービスが提供できるよう、サイバー犯罪のエコシステムは急速に進化しました。」とインテルセキュリティのヨーロッパ、中東、アフリカ地域のCTO(最高技術責任者)であるラージ・サマニ(Raj Samani)氏は話します。「この『サービスとしてのサイバー犯罪』の市場の存在が、大規模で重大なサイバー攻撃が頻繁に発生している大きな要因となっています。また、盗難データを販売し、サイバー犯罪に対してお金を支払わせることができるビジネスモデルが確立され、急速に広まっていることも同様に大きな誘因となっています」。
McAfee Labsのチームは、長年にわたる警察との連携業務を通じて、盗難データが持ち込まれて販売されるWebサイト、チャットルーム、その他のオンラインプラットフォーム、コミュニティ、マーケットプレイスについて監視・調査を行ってきました。McAfee Labsは、多くの盗まれたデータ製品やデータサービスの中で、どれくらいが本物なのかは確認できていません。しかし、警察の捜査員と長年一緒に仕事をしてわかったことは、彼らは鍵のタイプとデータの価格のイラストを使用して「サイバー犯罪の経済状況」を評価していたことです。
ペイメントカード
ペイメントカードは、盗まれ、販売されるデータタイプの中でおそらくもっともよく知られているものです。McAfee Labsが調査を通してわかったことは、盗まれたたペイメントカードのデータがブラックマーケットでパッケージ化され、価格が付けられ、売られるときの評価に違いがあることです。一般的に販売されているものは、PAN(Primary Account Number)ソフトウェア的に生成された番号、有効期限、およびセキュリティコード(CVV2)を組み合わせたものです。販売者は有効なカード番号の組み合わせを「ランダム」に調べます。「有効クレジットカード番号生成ツール」は、オンラインで購入または無料のものを見つけることができます。コアデータがあり、より多くの犯罪行為を完遂できるものは、追加情報の内容により価格は上昇します。
追加情報には、銀行口座のID番号、被害者の誕生日のほか、「Fullzinfo」と分類される被害者の請求先の住所、PIN番号、ソーシャルセキュリティ番号、誕生日、母親の旧姓、カード所有者のオンラインアカウントにアクセス・管理・変更できるユーザー名とパスワードの情報が含まれるものまであります。
以下の図表は、利用できる情報の組み合わせ別に全地域における販売されているクレジットカードとデビットカードのアカウントの価格の平均を示しています。
| パッケージ | 米国 | イギリス | カナダ | オーストラリア | EU |
| ベーシックまたは「ランダム」 | $5-$8 | $20-$25 | $20-$25 | $21-$25 | $25-$30 |
| 銀行のID番号あり | $15 | $25 | $25 | $25 | $30 |
| 誕生日あり | $15 | $30 | $30 | $30 | $35 |
| Fullzinfoあり | $30 | $35 | $40 | $40 | $45 |
「物理的なカードと同等のデジタル情報を所持する犯罪者は、被害者がカード発行会社に問い合わせ異議申し立てを行うまで、買い物や出金をすることができます」とサマニ氏は言葉を続けます。「犯罪者がカード所持者のIDを特定するために大量の個人情報を持っている場合、犯罪者がアカウントにアクセスして情報の変更ができることにもつながり、個人およびカード発行会社に甚大な経済的損害が発生する可能性が飛躍的に高まります」。
支払いサービスのアカウント
オンライン支払いサービスのアカウントが被害にあった場合、悪用する用途や範囲は口座残高に左右されるため価格は口座残高の大小のみで決まります。口座残高が400~1,000米ドルのアカウントのログイン認証情報の場合、価格は20~50ドルですが、口座残高が5,000~8,000ドルのアカウントのログイン認証情報の場合、価格は200~300ドルに上昇します。
銀行口座のログイン認証情報
サイバー犯罪者は、銀行のログイン認証情報とサービスを購入することで、盗んだ資金を気付かれずに外国の口座に振り込むことができます。McAfee Labsの調査によれば、2,200ドルの口座残高のあるログイン認証情報は、190ドルで販売されていました。お金を米国の銀行に気付かれずに振り込みができる銀行のログイン認証情報で口座残高が6,000ドルのものは500ドルで、口座残高が20,000ドルのものは1,200ドルで販売されていることがわかりました。イギリスへの振り込みについて10,000ドルの口座残高があるものは700ドルで、16,000ドルの口座残高があるものは900ドルで販売されていました。
オンラインのプレミアムコンテンツサービス
このレポートでは、オンラインのビデオストリーミング(0.55~1ドル)、プレミアムケーブルチャンネルストリーミングサービス(7.50ドル)、プレミアムコミックブックサービス(0.55ドル)、プロスポーツストリーミング(15ドル)などのオンラインコンテンツサービスのログイン認証情報について、ブラックマーケットでの値段を評価しています。これらのサービスは比較的価格が低いことから推測されますが、サイバー攻撃者はサイバー犯罪のビジネスモデルとして利益を出すために認証情報を自動的に盗み出す事例が増加しています。
ロイヤルティ、コミュニティ用のアカウント
一部のオンラインサービスは対象としての価値は低いと思われますが、ホテルのロイヤルティプログラムやオンラインオークションのアカウントのログイン認証情報もブラックマーケットで販売されていることが調査でわかりました。これらを使用すると、なりすましをしてオンラインで買い物ができるのは明らかです。McAfee Labsの調査によると、主要なホテルブランドでポイントが100,000あるロイヤルティアカウントが20ドルで、オンラインオークションのコミュニティアカウントで高評価のものは1,400ドルで販売されていることがわかりました。
詳細については、以下のリンクより完全版の報告書『目に見えないデータの経済性』
http://www.mcafee.com/jp/resources/reports/rp-hidden-data-economy.pdf
をご覧ください。
データ侵害および詐欺や盗難に伴う被害から消費者が身を守る方法のガイダンスについては、当社公式ブログ等をご覧ください。
※本ページの内容は McAfee Blog の抄訳です。
原文: Hidden Data Economy Report Exposes Price Points for Stolen Data
著者: Chris Palm(director of corporate communications for Intel Corporation’s Intel Security Group)
