2018年サイバー犯罪者のショッピングリスト
~ 流出した個人情報、闇市場ではいくら? ~
今年も数多く発生した大規模な情報漏洩事件は、個人情報の流出がもたらす広範囲な影響を改めて浮き彫りにしました。サイバー犯罪者は、標的サイトに存在するアカウント情報だけを手中に収めようとしているわけではありません。アカウント情報だけでは金銭的な利益がほとんど、またはすぐに得られない可能性があるからです。
サイバー犯罪者は、多くのユーザーが複数のサイトで同じパスワードを使用しているという事実を逆手に取り、そのようなユーザーを狙って認証情報を手に入れ、人気のEコマースサイト、送金サイト、ゲームサイトなど別のサイトで不正利用して利益を得ようとしているのです。
サイバー犯罪者は、盗んだ認証情報が使えることが判ると(これもまたWebサイトの悪用にあたりますが)、その認証情報を使って物品を購入したり、不正に送金したり、別のサイバー犯罪者に認証情報を転売することすらあります。すると転売先でも同様な事象が再発してしまいます。
RSAが発表したインフォグラフィック「2018年サイバー犯罪者のショッピングリスト
(2018 Cybercriminal Shopping List:盗まれた個人情報の闇市場価格)」 は、RSA AFCC(Anti-Fraud Command Center:不正対策指令センター)が調査した闇市場における小売業界、ソーシャル/Web業界、旅行/レジャー業界、金融業界、テクノロジー業界それぞれのサービスや企業が保有する会員、顧客のアカウント認証情報について、闇市場での売買相場を表現しています。価格はアカウント本人が利用しているブランド(店、サイト、企業など)やサービスの種類、決済用カード情報の有無などにより、価格は数セントから最大15米ドルです。
ソーシャル/Web業界では、最も高い値がついている出会い系サイト(デートサイト)が目を引きます。デートサイトの会員は、自身のプロファイルを登録しており、それがソーシャルエンジニアリングの好材料であること、また、ある人気の高い会員の情報を不正に入手し本人と偽って「今月ちょっとお金が足りないから助けて欲しい」といった内容で複数の会員から金品を騙し取ることもあり得ます。これについてAFCCは、出会い系サイトの会員はSNSや電子メールよりも会員の発信内容を信じやすい傾向があるとしています。
金融業界は、平均的に高い値がついています。これはもちろん、認証情報が銀行口座を操作するための情報に直結しており、ソーシャルエンジニアリングや物品を購入して転売する手間とリスクをかけずに、資金移動がすぐに行えることが理由です。
【RSAが企業に提案する、 アカウント保護のためのシンプルな5つのステップ】
ある企業から流出した認証情報は、直ちに別の企業に同じ問題を投げかけることになり得ることがわかります。
サービスを提供する事業者や企業が顧客のアカウントを更に強力に保護するための「シンプルな5つのステップ」を紹介します。
1. 盗難データの市場を理解する
盗難データの売買の場であるダークウェブは、基本的にリアルな市場と同じように機能します。競争は非常に激しく、市場原理は物やサービスの価格に影響を及ぼします。認証情報の種類ごとに価格が付けられ、サイバー犯罪者はその品揃えに医療記録を追加するなど、必要に応じて多様化させます。ただし、これはダークウェブの中だけではありません。こうしたデータの多くは、ほとんどのソーシャル・メディア・プラットフォームで堂々と売られています。
2. 個人を特定する要素は無限にある
情報漏洩により、静的情報が本人を証明する情報としていかに脆弱であるかが証明されてきました。相互に接続されている現代社会では、デジタルで残されたメタデータはすべて「顧客を知る」ためのより良い材料として活用できます。顧客の本人確認のために現在どのようなことを行っているか、またアイデンティティ保証を向上させるためにどのような属性を活用できるかについて考えてみてください。それは、SMSのテキストメッセージや生態認証を使用することかもしれませんし、Webサイト上の顧客のふるまいを分析することかもしれません。
3. 認証情報テストに備える
普通の企業と同じように、犯罪者もネットワークを常により効率的に運用していく方法を探っています。詐欺師は「認証情報スタッフィングツール(盗んだ認証情報の有効性をスクリプトで自動的に検証するツール)」を使い、ユーザー名とパスワードの組み合わせを瞬時に判定できます。アカウント乗っ取り攻撃の前兆となることの多いこの認証情報テストを特定するには、企業は機械的で不自然に高速なふるまいや複数回にわたるログインの失敗、通常のトラフィックからかけ離れたロケーションからのログインの試みに対してWebのセッションを監視する必要があります。
4. なりすましとアカウント乗っ取りを特定するために監視する
詐欺師は、盗んだ認証情報のなかから利用可能であることを確認した情報を悪用して既存アカウントを乗っ取り、不正にアカウントを新規作成することがあります。そのため、大規模な情報漏洩が発生した後にアカウントの乗っ取りが急増しても不思議ではありません。RSAのデータサイエンティストは、アカウントの乗っ取りと新規アカウント開設に関連した詐欺パターンを調査し、新規アカウント作成後の最初の10日間に詐欺発生率が15倍を超えていることを発見しました。新しいデバイスからのログインや、パスワードなどのアカウント情報の変更、銀行や決済サービス・プロバイダー、新しい支払先の追加(この時に不正な支払いの70%が行われる)を監視することにより、既存アカウントでの怪しいふるまいを見分けることができます。
5. 顧客を啓蒙する
オンライン・セキュリティに関して、顧客にとって「信頼できるアドバイザー」になりましょう。例えば、Webサイトのトップページやプロモーションメールで、顧客に安全性に関する情報を提供し、顧客が簡単な手順で怪しい電子メールや製品・サービスを報告できるような仕組みを検討してください。オンラインの安全性を気にかけていることを顧客に示すことによって、ブランドに対するロイヤルティを高めることができます。
# # #
サイバー犯罪者は、多くのユーザーが複数のサイトで同じパスワードを使用しているという事実を逆手に取り、そのようなユーザーを狙って認証情報を手に入れ、人気のEコマースサイト、送金サイト、ゲームサイトなど別のサイトで不正利用して利益を得ようとしているのです。
サイバー犯罪者は、盗んだ認証情報が使えることが判ると(これもまたWebサイトの悪用にあたりますが)、その認証情報を使って物品を購入したり、不正に送金したり、別のサイバー犯罪者に認証情報を転売することすらあります。すると転売先でも同様な事象が再発してしまいます。
RSAが発表したインフォグラフィック「2018年サイバー犯罪者のショッピングリスト
(2018 Cybercriminal Shopping List:盗まれた個人情報の闇市場価格)」 は、RSA AFCC(Anti-Fraud Command Center:不正対策指令センター)が調査した闇市場における小売業界、ソーシャル/Web業界、旅行/レジャー業界、金融業界、テクノロジー業界それぞれのサービスや企業が保有する会員、顧客のアカウント認証情報について、闇市場での売買相場を表現しています。価格はアカウント本人が利用しているブランド(店、サイト、企業など)やサービスの種類、決済用カード情報の有無などにより、価格は数セントから最大15米ドルです。
ソーシャル/Web業界では、最も高い値がついている出会い系サイト(デートサイト)が目を引きます。デートサイトの会員は、自身のプロファイルを登録しており、それがソーシャルエンジニアリングの好材料であること、また、ある人気の高い会員の情報を不正に入手し本人と偽って「今月ちょっとお金が足りないから助けて欲しい」といった内容で複数の会員から金品を騙し取ることもあり得ます。これについてAFCCは、出会い系サイトの会員はSNSや電子メールよりも会員の発信内容を信じやすい傾向があるとしています。
金融業界は、平均的に高い値がついています。これはもちろん、認証情報が銀行口座を操作するための情報に直結しており、ソーシャルエンジニアリングや物品を購入して転売する手間とリスクをかけずに、資金移動がすぐに行えることが理由です。
【RSAが企業に提案する、 アカウント保護のためのシンプルな5つのステップ】
ある企業から流出した認証情報は、直ちに別の企業に同じ問題を投げかけることになり得ることがわかります。
サービスを提供する事業者や企業が顧客のアカウントを更に強力に保護するための「シンプルな5つのステップ」を紹介します。
1. 盗難データの市場を理解する
盗難データの売買の場であるダークウェブは、基本的にリアルな市場と同じように機能します。競争は非常に激しく、市場原理は物やサービスの価格に影響を及ぼします。認証情報の種類ごとに価格が付けられ、サイバー犯罪者はその品揃えに医療記録を追加するなど、必要に応じて多様化させます。ただし、これはダークウェブの中だけではありません。こうしたデータの多くは、ほとんどのソーシャル・メディア・プラットフォームで堂々と売られています。
2. 個人を特定する要素は無限にある
情報漏洩により、静的情報が本人を証明する情報としていかに脆弱であるかが証明されてきました。相互に接続されている現代社会では、デジタルで残されたメタデータはすべて「顧客を知る」ためのより良い材料として活用できます。顧客の本人確認のために現在どのようなことを行っているか、またアイデンティティ保証を向上させるためにどのような属性を活用できるかについて考えてみてください。それは、SMSのテキストメッセージや生態認証を使用することかもしれませんし、Webサイト上の顧客のふるまいを分析することかもしれません。
3. 認証情報テストに備える
普通の企業と同じように、犯罪者もネットワークを常により効率的に運用していく方法を探っています。詐欺師は「認証情報スタッフィングツール(盗んだ認証情報の有効性をスクリプトで自動的に検証するツール)」を使い、ユーザー名とパスワードの組み合わせを瞬時に判定できます。アカウント乗っ取り攻撃の前兆となることの多いこの認証情報テストを特定するには、企業は機械的で不自然に高速なふるまいや複数回にわたるログインの失敗、通常のトラフィックからかけ離れたロケーションからのログインの試みに対してWebのセッションを監視する必要があります。
4. なりすましとアカウント乗っ取りを特定するために監視する
詐欺師は、盗んだ認証情報のなかから利用可能であることを確認した情報を悪用して既存アカウントを乗っ取り、不正にアカウントを新規作成することがあります。そのため、大規模な情報漏洩が発生した後にアカウントの乗っ取りが急増しても不思議ではありません。RSAのデータサイエンティストは、アカウントの乗っ取りと新規アカウント開設に関連した詐欺パターンを調査し、新規アカウント作成後の最初の10日間に詐欺発生率が15倍を超えていることを発見しました。新しいデバイスからのログインや、パスワードなどのアカウント情報の変更、銀行や決済サービス・プロバイダー、新しい支払先の追加(この時に不正な支払いの70%が行われる)を監視することにより、既存アカウントでの怪しいふるまいを見分けることができます。
5. 顧客を啓蒙する
オンライン・セキュリティに関して、顧客にとって「信頼できるアドバイザー」になりましょう。例えば、Webサイトのトップページやプロモーションメールで、顧客に安全性に関する情報を提供し、顧客が簡単な手順で怪しい電子メールや製品・サービスを報告できるような仕組みを検討してください。オンラインの安全性を気にかけていることを顧客に示すことによって、ブランドに対するロイヤルティを高めることができます。
# # #
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザーログイン既に登録済みの方はこちら
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像
- 種類
- 商品サービス
- ビジネスカテゴリ
- ネットワーク・ネットワーク機器アプリケーション・セキュリティ
- ダウンロード
- プレスリリース素材
このプレスリリース内で使われている画像ファイルがダウンロードできます