Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

アカウント情報の闇相場、「銀行口座」など高値 - 攻撃者はPWリスト攻撃目的で入手か

不正アクセスなどで流出し、ブラックマーケットで取り引きされているウェブサイトの「アカウント情報」。流出が表沙汰になった情報を直接悪用することは難しいが、攻撃者はパスワードの使い回しを行っているユーザーを狙い、利益を得ているという。

EMCジャパンが、闇市場において取り引きされる企業やサービスから流出したアカウント情報の価格相場を調査、分析したもの。含まれる個人情報によって価格は異なるが、同調査から分野ごとの傾向なども明らかになったという。

なかでも高値で取り引きされていたのは金融分野で、銀行口座は3ドルから24ドルの価格が付いていた。金融サービスは7ドルから10.5ドルで、クレジットカードは3ドルから5ドル、オンライン送金サービスは0.5ドルから15.5ドルと幅が広い。

ソーシャルネットワークやウェブサービスを見ると、ソーシャルメディアサイトは3ドル。メールアカウントは1ドルから3ドルで、メッセージは1ドルから5ドル。

同分野においてもっとも高額だったのは、プロフィールなども登録されていたデートサイトでもっとも高い場合で10ドルにのぼった。ソーシャルエンジニアリングに悪用できることから、高値で取り引きされていると見られている。

一方、テクノロジー分野では、IT企業が0.4ドルから3.5ドル。ビデオのオンデマンドサービスが1ドルから5ドル、通信会社が1ドルから4ドル、電器店が2.5ドルだった。

小売業界では、ネット店舗が0.2ドルから8.5ドル、配送会社が1.4ドルから6ドル。旅行レジャー業界では、航空会社が3ドルから10.5ドルで、ホテルやレストランが0.7ドルから1.5ドルだった。

同社は、闇市場で流通するアカウント情報を直接利用して利益を得ることは難しく、攻撃者は攻撃対象とするサイトのアカウント情報を闇市場から得ようとしているのではないと指摘。

多くのユーザーがパスワードの使い回しを行っていることから、攻撃者は闇市場から取得したアカウント情報について、自動検証ツールを用いて他サイトにおける認証の有効性をチェック。別の送金サイトやeコマースサイト、ゲームサイトのアカウントを乗っ取り、利益を得ようとしていると分析している。

20171219_rs_001.jpg
個人情報の取引相場(画像:EMC)

(Security NEXT - 2017/12/19 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

盗難クレカ、流通量多い上位20カ国の平均相場は10.95ドル
専門家などが選ぶ「セキュリティ10大脅威」 - セキュリティ人材不足が5位に
企業向け認知度調査、もっとも高い「WannaCrypt」でさえ4割満たず
消費者の7割「情報漏洩が発生した企業との取引をやめる」 - 9割超が法的措置検討
2017年上半期、個人情報漏洩報告は290件 - 報告徴収2件、116件の指導や助言
10月のフィッシング報告は982件 - 「Apple」関連が7割
IoT機器メーカーなど半数が「セキュリティバイデザイン」採用 - 9割が規制を要望
約4割の組織で重大被害 - 売上機会損失など含む平均被害額は2.3億円
4社に1社が個人端末を業務利用、4割がルールなし
Pマーク事業者の個人情報関連事故、2016年度は843組織2044件