メモ

「PlayStation Network(PSN)」から本当に個人情報が流出した場合、それらはいったいいくらで取引されるのか?


ソニーが先日、「PlayStation Network(PSN)」および「Qriocity」ユーザー約7700万人の名前、住所、国、メールアドレス、誕生日、同サービスを利用するためのパスワード、オンラインID、購入履歴、請求先、パスワードセキュリティに対する回答を含む個人情報が流出した可能性があることを発表しました。

あくまで「流出した可能性を否定しきれない」とするにとどまり、実際に流出したかどうかは確認できていませんが、もしそれらの情報が流出した場合、裏市場ではいくらで取引されるのか……という興味深いデータをセキュリティ企業「G Data Software」が明らかにしました。

今後の対策などについての情報を合わせた詳細は以下から。
G Data Softwareが本日付で発表したプレスリリースによると、現在流出したおそれがあるとしているデータは「氏名」「住所」「国籍」「メールアドレス」「生年月日」「パスワード(PSN/キュリオシティ)」「オンラインID(PSN)」で、「購入履歴」「請求先住所」「パスワード再設定用の質問への回答」といったプロファイルが含まれる可能性もあるとされています。

また、アカウント取得者がPSN/キュリオシティにおいてクレジットカードを使用していた場合、「クレジットカード番号(セキュリティコードを除く)」「有効期限」が保存されている可能性もあるとされています。

現在インターネット上で行われる攻撃は大別すると「金銭目的(サイバー犯罪)」または「政治的行為(サイバースパイ、標的型攻撃=ターガタック)」に分けられ、個々の情報の価値は目的によって異なります。

金銭目的の場合:特定の人間のデータを必要とせず、量の多さで価値が高まる
政治的行為の場合:特定の組織や国家、設備などを狙うのが目的であるため数量は特に問わず(極端に言えば、ただ1つの情報さえあればよい)


なお、現時点ではソニーに対する攻撃はどちらであるのかが不明ですが、ソニーとハッカーとのトラブルの経緯をふまえると政治的行為の可能性が考えられるほか、膨大な数の個人情報の流出を考えると金銭目的の可能性も考えられ、場合によっては両方の目的が複合しているとも考えられるそうです。

そしてもし流出した個人情報が裏市場において取引された場合、どの程度の価格になるのか……という点についてですが、G Data Softwareは「氏名やアカウント、有効期限、パスワードといったクレジットカードにかかわる個人情報が一式揃っている場合、これをネットの裏市場にあるフォーラムや掲示板で、高額で売ることができます」とした上で、裏市場における販売価格の一覧を以下のように算出しています。

裏市場における販売価格一覧(2011年4月現在)
*日本円は、1ユーロ=120円、1ドル=80円で計算

PSNクレジット50ユーロ 10~25ユーロ(1,200~3,000円)
クレジットカード(セキュアコード更新可能) 50ユーロ(6,000円)
クレジットカード・ゴールド(セキュアコード更新可能) 70ユーロ(8,400円)
クレジットカード(Visaによる認証なし) 40ユーロ(4,800円)
クレジットカード・ゴールド(Visaによる認証なし) 50ユーロ(6,000円)
     
Visa / Master(米) 1.5~2米ドル(120~160円)
Visa / MasterCard(英) 5~7米ドル(400~560円)
Visa / Master(英)誕生日データ付 10米ドル(800円)
Visa / MasterCard(欧) 6~15米ドル(480~1,200円)
アメリカンエクスプレス(米) 3米ドル(240円)
アメリカンエクスプレス(英) 12米ドル(960円)
アメリカンエクスプレス(欧) 9米ドル(720円)
     
未記載のクレジットカード(エンボス加工なし) 25米ドル(2,000円)
未記載のクレジットカード(エンボス加工あり) 40米ドル(3,200円)
     
身分証明証(ルーマニア/モルドバ) 600~1,000ユーロ(72,000~120,000円)
運転免許証(ルーマニア/モルドバ) 600~1,000ユーロ(72,000~120,000円)
パスポート(イスラエル) 2,300ユーロ(276,000円)
パスポート(ルーマニア) 2,500ユーロ(300,000円)


ちなみに不特定多数にスパムメールを送りつけて個人情報を収集しようとしても、中身の質が分からないため、「商品」としての価値がそれほど上がらないのに対して、今回のように流出した個人情報の大半が本物であり、かつ有効である可能性がとても高い場合は当然価格も上昇するとのこと。その上で今後できうる対策として、G Data Softwareは以下のようなものを挙げています。

1.ネットワークが再びオンラインになったならば、ただちにパスワードを変更する。
2.メールやインターネット上でその他登録しているユーザー名にPSNと同じものを使用しているならば、パスワードを急いで変更する。
3.必須以外の情報は入力しない。
4.身に覚えのない出金がないかどうか、クレジットカード預金取引明細をチェックする。もし不審なデータがあればただちにカード会社に問い合わせる。もし不正な出金があったとしても、詐欺行為であることが判明したなら、カードの保障(保険)によって弁済される可能性は高い。
5.インターネット取引専用のクレジットカードを使用する。


ソニー自身もユーザーに対してソニーが直接個人情報を問い合わせるようなことはないとして詐欺への注意を呼びかけているほか、PSNが復旧した場合、すぐさまユーザーIDやパスワードを変えることを強く推奨しているため、ユーザーは今後の復旧状況をしっかりチェックしておく必要があるようです。

この記事のタイトルとURLをコピーする

・関連記事
ソニーが「PSN(PlayStation Network)」の復旧に時間がかかることを告知、背後にハッカー集団の影 - GIGAZINE

ソニーが「PlayStation Network(PSN)」および「Qriocity」ユーザー情報流出の可能性を認めて注意を呼びかけ、一部機能はセキュリティを強化して再開へ - GIGAZINE

核再処理工場を攻撃、ウラン遠心分離機が一時的に制御不能になったサイバー攻撃「ターガタック」とは? - GIGAZINE

遊びながら情報セキュリティについて学べる「セキュリティ投資すごろく」 - GIGAZINE

インストール不要ですぐ使える、オフラインでもOKな無料セキュリティツール「Microsoft Safety Scanner」 - GIGAZINE

in メモ, Posted by darkhorse_log

You can read the machine translated English article here.