EMCジャパンRSA事業本部は12月15日、RSA AFCC(Anti-Fraud Command Center:不正対策指令センター)が調査した闇市場における小売業界、ソーシャル/Web業界、旅行/レジャー業界、金融業界、テクノロジー業界から流出した個人情報の売買相場を発表した。

価格は、アカウント本人が利用しているブランド(店、サイト、企業など)や サービスの種類、決済用カード情報の有無などによって異なる。

ソーシャル/Web業界では、最も高い値がついている出会い系サイト(デートサイト)が目を引くという。デートサイトの会員は、自身のプロファイルを登録しており、それがソーシャル・エンジニアリングの好材料であること、ある人気の高い会員の情報を不正に入手して本人と偽って「今月ちょっとお金が足りないから助けて欲しい」といった内容で複数の会員から金品をだまし取ることもあり得る。

この点について、AFCCは、出会い系サイトの会員はSNSや電子メールよりも会員の発信内容を信じやすい傾向があると指摘している。

金融業界は平均的に高い値がついているが、認証情報が銀行口座を操作するための情報に直結しており、ソーシャル・エンジニアリングや物品を購入して転売する手間とリスクをかけずに、資金移動がすぐに行えることが理由としている。

RSAは企業に対し、アカウントを保護するためのステップとして、「盗難データの市場を理解する」「個人を特定する要素は無限にあることを理解する」「認証情報テストに備える」「なりすましとアカウント乗っ取りを特定するために監視する」「顧客を啓蒙する」を推奨している。

  • 2018年サイバー犯罪者のショッピングリスト