2018.01.29サイバー犯罪に関して情報セキュリティ
著者 コムソルセキュリティ調査委員会
多種多様な手口によって行われるサイバー犯罪ですが、では犯罪に手を染めてしまう動機とは?
- 愉快犯 自己顕示欲のためなど
- 政治的な目的 思想の表明など
- いたずら、悪ふざけストーカー
- 金銭目的 たぶんこれが動機としては一番多いと思われる
では、金銭目的は何をお金に変えるのか?
- 個人情報
- クレジットカード情報
- マイレージアカウント(ID、パスワード付き)
- オンラインギフト券
- アプリのアカウント(クレジットカード情報付き)
- オンライン銀行口座
- SNS、メールのアカウント(ID、パスワード付き)
さらには、 実際のクラックに利用するマルウェアやトロイの木馬、ランサムウェアキットなどもお金に変えることができるそうです。
実際にはどれぐらいの価格なのか
1.個人情報 0.2円〜
これは付加情報により様々な金額がつくそうです。氏名のみでは無価値。住所年齢性別があってようやく情報としての価値になるようです。ちなみに20代の女性が一番値段が高いとか。細かい情報や条件が付けばつくほど値打ちがあがり、例えばゴルフ会員権の保持者、億ションの居住さらにはおよそ年収などが分かれば1件2,000円以上にもなるとのこと。となるとある意味、企業内部の役職がわかっている名簿などは比較的高価値なのかもしれません。
2.クレジットカード情報 50〜300円
CVVなどがわかっている場合は200円〜600円だそうです。表の15〜16桁の番号と有効期限だけではあまり価値が無く、名前とセキュリティコード(CVVやCID)までわかっているとかなりの価値になるということですね。またこのクレジットカードの価格は発行国や発行企業、カードのステータスによっても大きく異なるらしい。一般的にはEU発行カードは米国発行カードより高いそうです。では、日本で発行されたものは、と調べてみたのですが有益な情報は得られませんでした。
3.マイレージカード 50円〜400円ほど
1万マイル以上あることと、当然ながらID、パスワードが揃っていることが条件のようで50円〜400円ほど。1万マイルちょっとで東京-大阪間を往復できるので安すぎますね。
4.オンラインギフト券 額面価格の30〜60%ほど
額面価格の30〜60%ほどだそうです。
5.アプリのアカウント 100円ほど
アプリのアカウントこれはクレジットカード情報が付与されているアカウント限定のようですが100円程度だそうです。
6.オンラインの銀行口座 口座残高の5から10%程度。
リスクが高いからでしょうか。かなり安い金額での売買ですね。
7.SNS、メールなどのアカウント twitterやfacebookは1〜2円。
メールアカウントも同様のようです。ただし、twitterはfacebookに比べると金額は高いそうです。これはfacebookの方がユーザー数が多いからでしょうね。これらのアカウントは1000単位で販売されているそうです。
ちなみにこれらの売買はダークウェブ(闇サイト)などで行われることが多く、売買にはビットコインが利用されることが多いそうです。(通常、一般の名簿屋さんは出本が不明なものは買い取らない。とはいえ、2014年に起きた大規模漏洩事故は名簿屋さんに出回っていたが。)ダークウェブは通常のブラウザでのアクセスは不可能で、「tor」という特別なブラウザを利用しなければならない。サイトは防弾ホスティングのようなところに設置されているため、どこの国の法律も通用しないことが多い。
少し話が横にそれましたが、ランサムウェアやiPhone乗っ取りなども金銭目的ですね。実際に企業が支払った身代金は300万を超えていることが確認されている。企業としては、支払代金もさながら、一時的に業務停止状況に追い込まれることが一番の損失となるでしょう。
また、サイバー攻撃者はDDoS攻撃サービスなるものも売りに出してます。金額こそ様々ですが、攻撃したい者に成り代わり、そのサイトやサービスを攻撃するのでしょうね。
これらを見る限り、サイバー犯罪者はそれなりに収入を得られることができるために犯罪を犯しているのだと思われます。プライベートや業務などでPCを利用する機会が多いと思われるので十分に気をつけて利用するようにしましょう。
対策はまた別の機会にコラムにしたいと思います。
情報セキュリティ一覧へ戻るこちらよりお気軽にご相談ください。
