盗んだ情報、いくらで売れるの?

さて、ここまで聞くと気になってくるのは、不正プログラムにより盗み取った情報がいくらで売れるのかという点である。儲からない商売ならば手間暇かけて不正プログラムを作ることはないだろうから、それなりの価格が付けられていることは間違いないだろう。例え高くても転職する気は毛頭ないが、参考までに頭に入れておきたいところである。

ということで、ブラックマーケットでの取引価格を聞いてみた。

例えば、クレジットカードに関しては以下のとおり。

クレジットカード情報の取引価格(クリックで拡大画像)

なんと、クレジットカードのセキュリティコードだけで、1件あたり2ドル～15ドルで買い取ってもらえるのである。スライドにもあるとおり、通常はクレジットカード番号と一緒に売られるということなので、実際はさらに高い実入りが得られることになる。仮にまとまった数のクレジットカード情報を定期的に入手できたらかなりの収入になってしまう。

また、メール等のサービスのID/パスワードについてはこちら。

ID/パスワードの取引価格(クリックで拡大画像)

クレジットカードに比べるとやや安いような気もするが、お金に直結しないことを考えると仕方のないところか。……と、値踏みしている場合ではない。ご覧のとおり、不正プログラムによる情報入手がビジネスとして成り立ってしまっているのだ。どうりで減らないわけである。

分業制が確立されている犯罪組織、

以上の説明を読んで、「そもそも、そのような情報を買ってくれる組織が存在すること自体が信じられない」という方もいらっしゃるのではないだろうか。また、上記の表に日本の例がないため、「自分とは関係のない話」と危機感を覚えない方もいるかもしれない。

だが、飯田氏によると、実は不正情報の取引を告知しているWebサイトは意外と多いのだという。そして、国内でも個人情報が販売された"実績"があるようなのだ。

以下の画面ショットは、その例である。

銀行口座の取引の例(クリックで拡大画像)

オークションIDの取引の例(クリックで拡大画像)

ご覧のとおり、口座情報、オークションIDなどが高値で売られている。オークションIDに関しては、IDの「評価」に応じて価格が異なるというリアリティ溢れる値付けになっている。そのほかにも、トレンドマイクロでは、他人名義で契約された「飛ばし携帯」の販売告知なども検出しているという。

また、犯罪組織の進化も激しいようだ。最近では分業化が進んでおり、不正プログラムを開発するエキスパートと、配布するエキスパートが別々に存在し、それを仲介する人物が全体をまとめるという構図になっている。さらに、その周辺には、個人情報の不正入手を依頼するクライアントがいて、犯罪ツールを開発するための開発キットを提供する技術者なども存在する。このあたりは、通常の開発プロジェクトさながらの体制と言えよう。

分業化が進む犯罪組織

こんなこぼれ話も

以上が、リージョナルトレンドラボで聞いた最新のインターネット脅威になる。いかがだっただろうか。インターネットが便利になっていく裏側で攻撃も進化しており、想像以上に油断できない状況ができあがっていることがおわかりいただけたはずだ。

ちなみに、飯田氏からは、このほかにも興味深い話がいくつか聞けた。

例えば、「最近のプログラムは動きだけを見ていると、不正なものなのか、正規のものなのか区別がつかない」(飯田氏)という話。「バックドア」と呼ばれるウィルスの中には仮想デスクトップさながらの動きをするものもあるし、情報漏洩対策ソフトの監視エージェントなどは、Webブラウザの履歴やPCの操作情報を取得してサーバに送るといった処理を行っており、個人情報を盗み出す不正プログラムと同じような挙動になっているという。

また、今回の記事ではこっそりと情報を盗み出す不正プログラムに焦点を当てて説明したが、旧来のアウトブレイク型もまだまだ健在。最近でも、地方の企業で会社全体の業務に影響するような事態に陥ったことがあったという。

「その企業では、DOWNADと呼ばれるウィルスが広まってネットワーク帯域が圧迫されていました。ネットワーク監視装置を持ち込んで状況を見ながら、クライアント企業の管理職の方々と作戦を練り、2泊3日で駆除作業に取り組みました。外部ネットワークにつながっていない環境でしたが、USBメモリを経由して感染したようです」(飯田氏)。

感染が広まると駆除に数日かかることも珍しくない。最悪の場合、社員全員が数日間何も作業ができなくなるというケースも想定される。そうなると、先の個人攻撃とは比べ物にならないほど巨額の損害を被ることは確実だ。これを機に、ぜひともインターネット脅威に対する警戒を強めてほしい。