1. 漏えいした個人情報が取引されるブラックマーケットとは?

ケーススタディ【vol.33】

2016.09.01

漏えいした個人情報が取引されるブラックマーケットとは?

  • Facebook
  • このエントリーをはてなブックマークに追加

shutterstock_26209717
個人情報の漏えい事件は、今に始まったことではありません。個人情報を入手して悪用しようという人たちは、昔から存在していました。それがインターネットの普及によって、個人情報の世界的な流通が可能になり、価値も上がっています。今回は、流出した個人情報がどう悪用されていくのかということにフォーカスします。

【目次】
・昔はDM・テレコール、今は乗っ取り
・取引はブラックマーケット
・狙いはクレジットカード情報とパスワード情報

 

昔はDM・テレコール、今は乗っ取り

 個人情報漏えい事件の影響は、インターネット普及の前後で大きく変わりました。インターネットが普及する以前も個人情報の漏えいは発生しており、その原因は「紛失」や「盗難」がほとんどで、それは現在でも変わっていません。以前は、漏えいした個人情報は「名簿屋」と呼ばれる人たちの手に渡り、売買され、DMやテレコールに活用されていました。

 DMはダイレクトメールの略で、利用した覚えのない店舗や会社から突然セールのお知らせなどの手紙が届くようになります。テレコールは電話による同様のセールスです。もっとも、当時は現在と異なり個人情報保護法も施行されておらず、個人情報漏えい事件がニュースになることもほとんどなく、そもそも個人情報の公開があまり重要視されない時代でした。

 それが大きく変化したのが、ITの進化とインターネットの登場です。ITの進化によって、それまで紙で管理されていた個人情報などがデータとして扱われるようになり、マイクロソフトの「Excel」など世界共通のソフトウェアを使用するようになりました。また、インターネットの普及によって、それらのデータをメールなどで手軽にやり取りできるようになりました。

 個人情報などのリストがデジタルデータになったことで、作成や修正、印刷などが簡単にできるようになり、データをコピーして持ち出すことも容易になりました。さらに、インターネットからアクセスできる場所にデータのファイルを置いておくと、外部から不正にアクセスされ、ファイルを盗まれてしまうというリスクも出てきました。

 個人情報漏えい事件の原因は、もっとも多いのは以前と変わらず「紛失」や「盗難」ですが、現在では「設定ミス」や「不正アクセス」「社外への不正な持ち出し」などが続いています。インターネットの世界はクレジットカードが身分証明書の代わりになりますし、サービスを利用する際にはIDとパスワードで本人認証を行います。このため、漏えいした個人情報が悪意のある人間の手に渡ると、本人になりすましてサービスなどを乗っ取られてしまう危険性があるのです。

img1

JNSA「2015年情報セキュリティインシデントに関する調査報告書」より

 

取引はブラックマーケット

 インターネットが普及している現在、サイバー犯罪者もインターネットを積極的に利用して活動しています。その舞台が、「ディープWeb」や「ダークWeb」と呼ばれるものです。ディープWebとは、文字通りに深い場所にあるインターネットのこと、ダークWebは、専用のソフトを使用することでアクセスできるネットワークのことを指します。いずれもGoogleやYahoo!などの検索エンジンには引っかかりません。

 サイバー犯罪者は、こうしたインターネット上に複数存在する「秘密の場所」で、犯罪のためのスタッフやツールを集めたり、入手した情報の売買を行ったりします。現在のサイバー犯罪は組織化・分業化されていますが、サイバー犯罪者はディープWebやダークWebが交流の場になっているのです。

 たとえば、「●●という企業の個人情報や機密情報を盗み出して欲しい」といった依頼を受け付けるのも、それを受けてマルウェアの制作やターゲットの調査、依頼主との連絡役、プロジェクトの管理者などスタッフを集めるのも、ディープWebやダークWebです。国が依頼するケースも少なくないといいます。また、マルウェアを制作するためのプログラムや、制作したマルウェアが実際に各社のセキュリティ対策ソフトに検知されるかを試すプログラムなども提供されています。まさにインターネット上のブラックマーケットといえるでしょう。

img2

 

狙いはクレジットカード情報とパスワード情報

 ブラックマーケットでは、多くのサイバー犯罪者が盗んできた情報も売買されますが、それぞれ詳細な価格が設定されているといいます。もっとも高価なのは、暗証番号(PIN)や生年月日を含む、有効期間内のクレジットカード情報です。こうした情報を実際のカードに読み込ませてコピーすることも容易ですし、ブラックマーケットではクレジットカード会社各社のデザインのカードも売られています。

 クレジットカード情報に次いで人気なのが、各国が制度により国民に発行している個人番号です。ブラックマーケットではおそらく、すでに日本のマイナンバー法の個人番号もメニューに載っていることでしょう。また、さまざまなWebサービスから盗んだログイン情報も人気といわれます。多くの人は管理が面倒なので、複数のサービス上で同じパスワードを使い回しがちです。入手したIDとパスワードの組み合わせを別のサービスで試すことで、ログインできてしまうことも少なくないのです。

img3

ロシアのアンダーグラウンドサイト。日本と韓国のメールアドレスを高値で買い取ると書かれています。

 不正アクセスによる情報漏えいは件数こそ少ないものの、一度発生してしまうと企業は大きな損害を受けることになります。賠償金も莫大になりますし、ブランドの信頼が失墜してしまいます。企業は個人情報や機密情報の取り扱い方をしっかりと規定し、持ち出す際のセキュリティ対策はもちろん、普段の保管場所の管理やネットワーク上のデーターベースサーバーのセキュリティ対策をしっかり行っていくことが重要です。お客様はもちろん、社員、会社を守るためにも、データを強固に保護すべきでしょう。

yosizawa150-150吉澤亨史(よしざわ こうじ)フリーランスライター
自動車整備士として整備工場やガソリンスタンドで長らく働いた後、IT系フリーランスライターとして独立。ここ15年ほどは情報セキュリティ関連を中心に執筆活動を行っている。ただし、パソコンやハード、ソフト、周辺機器、スマホ、アプリ、サービスなどIT系全般はもちろん、自動車など他業界にも対応。
この記事をシェアする
  • Facebook
  • このエントリーをはてなブックマークに追加

関連記事 | こんな記事もオススメです。