流出した個人情報が取引される「地下マーケット」での相場の実態とは？

By Oriol Domingo

ハッキング被害による情報流出や金銭・物的被害とインターネットはもはや切り離せないといっても過言ではなく、ソニー・ピクチャーズのような大企業でもサイバー攻撃によって従業員の家族が脅迫を受ける事態に遭遇しています。ハッキングによって流出したデータは水面下で売買されて情報を求める者の手から手へと渡されていくのですが、デルはそんなハッカーによる「地下マーケット」で流れる情報の相場をまとめた資料を公表しています。

The Underground Hacking Economy is Alive and Well | Dell SecureWorks Security and Compliance Blog
http://www.secureworks.com/resources/blog/the-underground-hacking-economy-is-alive-and-well/

◆ハッキングされた情報の価格表・カード情報など
個人情報のうち、最も悪用されるケースが多いのがクレジットカード情報です。マーケットでは1件あたり1000円～2000円程度という相場で取引が行われている模様。(文中：US＝アメリカ、CAN＝カナダ、UK＝イギリス、AUS＝オーストラリア、EU＝ヨーロッパ各国)

・VISA/Masterカード(US)：4ドル(約480円)
・VISA/Masterカード(UK/AUS/CAN)：7～8ドル(約830円～940円)
・VISA/Masterカード(EU/アジア)：15ドル(約1770円)

・アメリカン・エキスプレスカード(US)：7ドル(約830円)
・アメリカン・エキスプレスカード(UK/AUS/CAN)：12～13ドル(約1240円～1350円)

・Discoverカード(US)：8ドル(約940円)
・Discoverカード(AUS/CAN)：12ドル(約1420円)
・Discover/アメリカン・エキスプレスカード(EU/アジア)：18ドル(約2120円)

By Sean MacEntee

また、カードの磁気テープ部分に保管されているデータそのものを販売するケースも存在しています。磁気テープは目に見えない3つのライン(トラック)に分かれており、第1トラックと第2トラックには口座番号や有効期限、カード保有者の氏名などの認証情報が保存されています。

・第1・第2トラック情報(US)：12ドル(約1420円)
・第1・第2トラック情報(UK/AUS/CAN)：19～20ドル(約2240円～2360円)
・第1・第2トラック情報(EU/アジア)：28ドル(約3300円)

さらに、氏名や住所、電話番号、メールアドレスなどの個人を特定できる情報や、それらに付随するパスワードなどの情報をまとめたFullzと呼ばれる情報も取引の対象となっています。Fullzが悪用されると、本人の知らないところでニセのアカウントが作成されるなどの被害につながります。

・Fullz情報(US)：25ドル(約2950円)
・Fullz情報(UK/AUS/CAN/EU/アジア)：30～40ドル(約3540円～4720円)

オンライン決済の安全性を高めるためのVISA認証情報や誕生日情報、多くの預金が入っている銀行口座の番号までもが売買の対象となっているようです。

・VISA認証(US)：10ドル(約1180円)
・VISA認証(UK/AUS/CAN/EU/アジア)：17～25ドル(約2010円～2950円)

・誕生日情報(US)：11ドル(約1300円)
・誕生日情報(UK/AUS/CAN/EU/アジア)：15～25ドル(約1770円～2950円)

・7万ドル～15万ドル(約830万円～1800万円)の預金がある銀行口座番号：300ドル以下(約3万2400円以下)

◆ハッキングされた情報の価格表：ハッキングツール類・ハッキング代行料など
上記のようなハッキングによって流出した情報はもちろんのこと、ハッキングに使われるツールやマルウェア本体、さらにはハッキング行為を実施するサービスにも価格が付いて取引が行われているとのこと。

・マルウェアに感染したコンピューター情報1000件：20ドル(約2360円)
・マルウェアに感染したコンピューター情報5000件：90ドル(約1万620円)
・マルウェアに感染したコンピューター情報1万件：160ドル(約1万8880円)
・マルウェアに感染したコンピューター情報1万5000件：250ドル(約2万9500円)

By r3gular

・リモートアクセス型トロイの木馬(RAT)：50～250ドル(約5900円～2万9500円)
・RATに付随するその他アドオンサービス：20～50ドル(約2360円～5900円)
・エクスプロイトキット「Sweet Orange」リース料：週あたり450ドル(約5万3000円)または月あたり1800ドル(約21万円)

・ウェブサイトのハッキング・データ抜き取り代金(価格はハッカーの評判次第)：100～300ドル(約1万2000～3万6000円)

・DDoS攻撃の実施：1時間あたり3～5ドル(約350円～590円)
・DDoS攻撃の実施：1日あたり90～100ドル(約1万600円～1万1800円)
・DDoS攻撃の実施：週あたり400～600ドル(約4万7000円～7万1000円)

・Doxing(ドクシング：攻撃ターゲットの個人情報をネットやマルウェアなどを通じて取得し、公開すること)：25～100ドル(約2950円～1万1800円)

◆被害を防ぐ対策とは？
このような「なんでもあり」なハッキングの世界から自分を守るためにはどうすればよいのか、デルでは以下のような対策を組織・個人のレベルで実施することを推奨しています。

By Alan Dreamworks

・組織/企業における対策
・被害を事前に食い止めるファイアウォールを完備しておく
・侵入防御システム(IPS：Intrusion Prevention System)や侵入検知システム(ISD：Intrusion Detection System)によって、不正な情報の送受信を検知してブロックする体制を整えておく
・IPSそのものをホストする
・最新のマルウェア防御ソリューションを整えておく
・システムの脆弱性のスキャニングを実施する
・システムのログ監視を24時間体制で実施し、ウェブアプリケーション、ネットワークについても同様の体制を整える
・最新のセキュリティに精通するスタッフをそろえる
・Eメールの暗号化
・従業員に対するセキュリティ教育の徹底。例え発信者が明らかな場合でもメールのURLはクリックしない、などの徹底したセキュリティ意識を行き渡らせることが重要。

・個人レベルで採るべき対策
・銀行取引を行うコンピューターは他の作業とは独立したものを使用し、メール送受信やネットサーフィンなどの行為から切り離した状態にする。
・不明な相手から送られてきたメールに含まれるURLは絶対に開かないこと。送信者が明らかな場合でも、開く前に送信者に中身を確認することが望ましい。
・頻繁に銀行口座情報やクレジットカードの利用状況を照合し、不正な取引が行われた際でも早期に発見できるようにする。
・アンチウイルスソフトを常に最新の状態にしておくことは、防御の上で有効な手段である。
・アンチウイルスソフトは「試用版」ではなく「正規版」を導入しておくこと。試用版はウイルス定義ファイルが最新でない場合がほとんどなので、防護策としては不十分と言える。
・無料の「○○ダウンロード・アクセラレーター」や「スパイウェア除去ツール」などのソフトをインストールする場合は、細心の注意を払うべき。また、ウェブサイトで表示されることがある「システムが危険にさらされています」などのポップアップからはソフトをダウンロードしないこと。これはインストールされたソフトにマルウェアが潜んでいるケースが多く見受けられるため。