マカフィーは10月28日、ブラックマーケットで取り引されている盗難データの価格を調査、その結果をセキュリティブログで公開した。
調査は、研究チームのMcAfee Labsが実施。盗難データが持ち込まれて販売されるWebサイトやチャットルーム、その他のオンラインプラットフォーム、コミュニティ、マーケットプレイスを監視した結果にもとづいている。
盗難データの種類は、クレジットカードやデビットカードといったペイメントカードのデータ、銀行口座のログイン認証情報、地下銀行の振り込みサービス、オンライン支払いサービスのログイン認証情報、プレミアムコンテンツサービスのログイン認証情報、企業ネットワークのログイン認証情報、ホテルおよびロイヤルティサービスのアカウントのログイン認証情報、オンラインオークションのアカウントのログイン認証情報など多岐にわたる。
例えばペイメントカードの場合は、盗まれて販売される金銭データの中で「恐らくもっとも多い」という。一般的に販売されているものは、PAN(Primary Account Number)というソフトウェア的に生成された番号と有効期限、およびセキュリティコード(CVV2)を組み合わせたものとなる。
ブラックマーケットの販売者は、有効なカード番号の組み合わせを「ランダム」に調べる。「有効クレジットカード番号生成ツール」は、オンラインで購入または無料のものを見つけることができる。コアデータがあり、より多くの犯罪行為を完遂できるものは追加情報の内容により価格が上昇する。
さらに、価格上昇の要素となる追加情報には、銀行口座のID番号や被害者の誕生日のほか、「Fullzinfo」と分類される被害者の請求先の住所、PIN番号、ソーシャルセキュリティ番号、誕生日、母親の旧姓、カード所有者のオンラインアカウントにアクセス・管理・変更できるユーザー名とパスワードの情報などがある。
|
利用できる情報の組み合わせ別に全地域における販売されているクレジットカードと、デビットカードのアカウントの価格の平均 |
オンライン支払いサービスのアカウントの場合には、口座残高が400~1000ドルのアカウントの場合、ログイン認証情報の価格が20~50ドルだった。また、口座残高が5000~8000ドルのアカウントのログイン認証情報の場合には、価格が200~300ドルだった。
銀行口座のログイン認証情報は、2200ドルの口座残高のあるログイン認証情報が190ドルで販売されていたことを確認。銀行のログイン認証情報で口座残高が6000ドルのものは500ドル、口座残高が2万ドルのものは1200ドルで販売されていた。
オンラインサービスのアカウントの場合は、ビデオストリーミング(0.55~1ドル)、プレミアムケーブルチャンネルストリーミングサービス(7.50ドル)、プレミアムコミックブックサービス(0.55ドル)、プロスポーツストリーミング(15ドル)などとなっていた。
ほかに、ホテルのロイヤルティプログラムのログイン認証情報のケースも公開されており、主要なホテルブランドでポイントが10万以上溜まっているロイヤルティアカウントが20ドルだった。また、オンラインオークションのコミュニティアカウントで高評価のものは1400ドルで販売されていた。
