メモ

パスポート写真の売買がダークウェブで活況、どのように悪用されているのか?

by T.Young

違法な商品やサービスが売買されるアンダーグラウンドな「ダークウェブ」の世界で、パスポートの写真やスキャン画像が流通しています。パスポート画像の値段はさまざまですが、他の個人情報とセットで高値で売買されることもあるようです。

Passports on the dark web: how much is yours worth? - Comparitech
https://www.comparitech.com/blog/vpn-privacy/passports-on-the-dark-web-how-much-is-yours-worth/

個人情報の売買について研究しているComparitechのポール・ビスチョフ氏が、ダークウェブで販売されているパスポートの販売価格を調査しました。調査は2018年9月時点にDream Market、Berlusconi Market、Wall Street Market、Tochka Free Marketを含む複数のダークウェブの違法マーケットで行われたとのこと。

ビスチョフ氏の調査によると、物理的なパスポートの場合、偽造パスポートの平均価格が1478ドル(約16万6000円)で、本物のパスポートは平均価格で1万3567ドル(約150万円)という高値がつくようです。


パスポートは発行する国によって価格が異なり、ヨーロッパ圏のものに高値が付きやすい傾向にあるとのこと。


偽造パスポートもヨーロッパ圏のものが高めという傾向は同じです。


銀行口座の不正開設などの犯罪にパスポートが悪用されることは多いことから、物理的なパスポートに高値が付くのは何となく理解できます。しかし、ビスチョフ氏によるとダークウェブの違法商材マーケットではパスポートのデジタル画像にも値が付き、旺盛な需要の下、取引されているとのこと。

典型的な商材は、以下のようなセルフィー(自撮り)の中にパスポートが含まれるもの。以下の写真は、1982年生まれのイギリス人女性のパスポート画像で、価格は0.00916BTC(時価で約52ユーロ:約6700円)です。


パスポートのデジタルスキャン画像の平均価格は14.71ドル(約1600円)。しかし、運転免許証や公共料金の支払証明などの別の証明書が付いた場合のパスポート画像の平均価格は61.27ドル(約6900円)と跳ね上がるそうです。


問題は、なぜデジタル画像に値がつくのか?という点ですが、「アカウントの乗っ取り」に悪用されているのではないかとビスチョフ氏は考えています。そして、ここでいうアカウントとは、仮想通貨取引サービスのアカウントをいい、仮想通貨アカウントの乗っ取りは、以下のようなケースが想定されています。

多くの仮想通貨取引サービスでは安全性強化のため二段階認証が導入されています。そのため、フィッシング詐欺などの何らかの方法でパスワードを不正に入手できたとしても、アカウントへのログインやユーザー情報の変更にはパスワードの他にスマートフォンやアプリへその都度送られるワンタイムパスコードなどが必要となり、アカウントを乗っ取ろうという悪意のある攻撃者は手が出せない状況です。


しかし、パスワードを入手した攻撃者は、乗っ取ろうとしているアカウントの所有者になりすまして、サービス提供者に対して「スマートフォンを紛失するなど何らかのトラブルによって二段階認証が利用できない」と窮状を訴えて、二段階認証のリセットを要求することがあるとのこと。このような場合、ほとんどの仮想通貨取引サービス提供者は二段階認証のリセットを行う前にユーザーの身元を確認できる情報の提出を求めるそうです。

そこで攻撃者はダークウェブから手に入れたパスポート画像を提出することで本人へのなりすましを完成させ、二段階認証のリセットを行いアカウントを完全に乗っ取り、仮想通貨を奪い取るというわけです。なお、ダークウェブにはパスポートの中身を書き換えるためのPhotoshopテンプレートも販売されており、ターゲットに合わせて情報を書き換えるよう指南しているとのこと。本人情報を求めるサービス提供者でパスポート番号がパスポート所有者と一致しているかどうかまで検証することはほとんどないそうです。

by T.Young

パスポートのスキャン画像が流出するのを予防するには、パスポートの保管に注意を払うのが基本で、SNSにアップロードしないのはもちろん、ローカルの端末やクラウドなどにスキャンデータを保存することも控えるべきだとビスチョフ氏は述べています。また、海外のホテル宿泊などでパスポートのコピーを求められる際に悪用される危険もあるため、あらかじめ自分で白黒のコピーを用意しておくのがよいとのこと。多くの犯罪者がカラーの画像を欲しがることから白黒コピーの提出が有効だそうです。

ちなみにダークウェブで販売されているパスポートのスキャン画像が、依然として有効かどうかは不明で、それまで悪用されたことのない「未使用品」であるという保証はないとのこと。ビスチョフ氏は調査の中で、複数の闇市場で重複して販売されているパスポート画像を確認しているそうです。

・関連記事
顔認証&指紋スキャンをパスポートの代わりにする計画をオーストラリアが推進中 - GIGAZINE

アメリカに入国する渡航者に対してSNSアカウント情報を尋ねる制度が導入される - GIGAZINE

アシアナ航空のサーバーから乗客のパスポート情報や銀行口座番号などの個人情報4万7000件が流出 - GIGAZINE

ダークウェブを使って7歳の息子を小児性愛者向けに「売って」いたとしてカップルが逮捕される - GIGAZINE

ダークウェブでは軍事ドローンの機密文書が2万円、空港システムへのアクセス権が1000円で売られている - GIGAZINE

中国のホテルから流出した1億人分以上の宿泊データが約630万円で販売されている - GIGAZINE

パスポートの顔写真はなぜ笑顔ではダメなのか? - GIGAZINE

ドイツのパスポートは世界最強のパスポート - GIGAZINE

違法サイト「シルクロード2.0」を閉鎖に追い込んだFBIの進化するIT捜査技術に潜む問題とは? - GIGAZINE

in ネットサービス,   メモ,   セキュリティ, Posted by logv_to