ダークウェブにある情報の価値 ~特徴を見極め安全対策に生かす~ | |
---|---|
作成日時 24/12/10 (08:55) | View 265 |
攻撃の基盤整備が進む
米国の調査会社が発表した予測によると、サイバー攻撃による世界の損失額は年々増加しており、2025年は10兆5,000億ドル(約1,600兆円)に達するとされています。日本の警察庁やIPA(情報処理推進機構)などが出す報告、NICT(情報通信研究機構)が定期的に公開している観測データなどを見ても、攻撃が増加傾向にある点は確かです。
損失額や攻撃件数が伸び続ける要因は、まずICTの進展が挙げられます。特にここ数年のテレワークの普及、行政や医療などの分野でも進んだデジタル化によって、一般の消費者も情報機器と接する機会が増えています。利便性とリスクは表裏一体。情報を出し入れするシーンが拡がれば、攻撃者が狙う隙も増えてしまうのです。
サイバー攻撃に関連する通信量の推移
出典:「NICTER観測レポート 2023」 NICT(情報通信研究機構)
もう一つは、ダークウェブの存在です。サイバー攻撃に必要な情報と知識、マルウェア、そして人材も供給する闇サイトが年々増殖を続け、“攻撃のための基盤整備”が進んでいる実態は軽視できません。
ダークウェブで価値が高い商材は?
2年ほど前ですが、米国性のVPN装置の脆弱性が公表された後、これを突いて窃取した企業システムにログインする情報が、ダークウェブで数千ドルという高値で売買されました。ここで攻撃者に渡った情報が、その後のランサムウェア攻撃の足掛かりになった可能性が高いとされています。
ダークウェブでは、麻薬や偽造免許証・偽造パスポートなど、違法な物品をはじめ、サイバー攻撃に利用できる情報とツールが出品されています。一般企業が管理する情報は、システムへのログイン情報、顧客名簿、契約書など。消費者が持つ情報では、クレジットカード情報、有料サービスのアカウントなど、攻撃側の実利に結びつくモノは何でも商品になり得ると考えていいでしょう。
特に高値で取引されているのは、ログイン情報をはじめ脆弱性を突くコード、ガードがあまい企業のリスト、実績を上げているマルウェアなど。不正侵入のマニュアル、ランサムウェアの感染企業から身代金を取り立てる手引き書なども需要が多いようです。
ダークウェブで高値が付く商材を分析すると、企業の情報資産を守るヒントが得られるはずです。まずは価格の相場を概観しておきましょう。
“fullzinfo”は最高値
参考までに、私たち一般消費者に身近な情報にも触れておきます。
なお、各国の法執行機関は、犯罪に加担するサイトを常に監視しています。逃れる方はURLをときどき変更し中身も頻繁に変えているため、以下に示す価格はあくまでも参考値です。2023~2024年に出た複数のレポートを加味した平均値と考えてください。
・クレジットカード情報 5~30ドル/件
クレジットカードは、カード番号と有効期限の2つが基本情報で、券面に印字されるCVVと呼ぶ3~4桁のセキュリティコード、氏名、決済限度額などの情報が付随します。どれだけ付加価値が付くかによって価格が上下しますが、社会保障番号、登録した金融機関、住所、親の旧姓なども紐付いたカード情報は、完全を意味する“fullzinfo”と呼ばれ、50ドル以上の値が付くこともあるようです。
・Amazon、eBay、PayPalなどオンライン決済のアカウント 3~10ドル/件
オンライン決済のアカウントは、汎用のクレジットカードに比べ、不正利用の“応用範囲”が狭く、決済単価も低めのため、多くは数千~数万件の単位で転売されます。eBayは著名なショッピングサイト、PayPalは日本ではあまり普及していませんが、カード情報を店舗側に渡さずに決済できるサービスで、米国を中心に世界で4億以上のアカウントが発行されています。
狙われる企業の情報資産
企業が持つ情報では、役員や従業員の名簿、顧客名簿、特許関連の文書、技術開発のデータ、メールアドレスなどの他、メールの内容から読みとった情報もときどき出品されます。経営層が交わしたメールの盗聴記録が1カ月分もあれば、標的型攻撃の糸口が見つかる可能性は大でしょう。
盗聴した内容から偽の振込依頼やマルウェアに感染させるサイトへの誘導を出す
出典:「標的型サイバー攻撃の事例分析と対策レポート」 IPA(情報処理推進機構)
企業が持つ情報資産は幅が広く、攻撃者の実利に結びつくものはすべて商材になり得ますが、どこのサイトにもある一般的な情報としては以下が挙げられます。
・メールアドレス 1~3ドル/件
・メールデータベース 100~300ドル/1万~数万件
メールアドレスは、企業(企業グループ)の従業員や、企業が運営するサービスの利用者など、データベースの単位で売買されるケースが多く、属性によって価格は大きく変動します。例えば、組織の規模と事業分野、保有する情報の重要性、攻撃者から見た攻撃の難易度などが影響します。
・企業システムのログイン情報 300~3,000ドル/件
ログイン情報は、攻撃側にとってもっとも価値が高い情報の一つです。対象企業が扱う情報の重要性、脆弱性の有無などセキュリティ対策、システム構成の詳細、そして管理者IDの権限など、ログイン情報とセットになる情報の内容によって、価格は大きく変動します。攻撃の成功率が高いデータセットは、3,000ドル前後かそれ以上の値が付くこともあるようです。
情報の価値はまず鮮度
少ないサンプルでしたが、ダークウェブで売買されている情報の特徴から、価値を左右する要素を抽出してみましょう。
消費者が持つ情報、企業が管理するデータに共通する点は、まず情報の新しさです。例えば、クレジットカードの“fullzinfo”。カードに紐付く住所氏名、勤務先、限度額などは、数カ月もすれば変わり、情報の価値は落ちていくはずです。
何らかの事情でカードが停止されたり、不正利用の疑いがあって所有者が止めたりすれば、その場で価値は消滅します。もちろん、この点は売る側も心得ていて、“購入後、48時間以内に使えなかった場合は差し替える”といった形でサポートしています。
付加価値が値段を左右
時間と共に価格が下がる点は、企業の情報資産も同様です。従業員名簿、顧客台帳などは、メンテナンスの手が入らなければ、まとまった情報としては早晩価値を失うでしょう。攻撃者にとっては、歩留りがいい鮮度の高い情報、例えば、直近の新入社員名簿、新規顧客のデータ、新規事業の契約書、財務記録などが狙い目です。
もう一つの要素は付加価値。企業システムへのログイン情報も、ID/パスワードに加えて、システム構成の詳細と脆弱性、また多要素認証を使っている場合は、中間者攻撃というこれを破る方法もあり、そのヒントになるようなデータが付けば値段は上がります。
情報の特性から発想した防御を
最近のダークウェブでは、セキュリティ対策が後手に回りがちな企業とそのサプライチェーンの状況、グループ企業の顧客名簿など、攻撃を拡大するための情報がセットで売り出されるケースもあるようです。
こうした新しい兆候も読みとり、一般企業はガードを強化する局面に来ています。
熟練した攻撃者の技術力とリサーチ力があれば、大企業を含む多くの組織は、ネットワーク内への侵入を100%阻止することは困難です。
そのため最近は、これまでの境界型セキュリティからゼロトラストセキュリティへと考え方が変わってきており、その要素の一つとして、個々のデバイス単位でガードを固める、エンドポイントセキュリティが重視されるようになってきました。
この発想をベースにすると、狙われやすい従業員や顧客情報のデータベースは、より強固な認証を導入する、ファイルの存在を見つけにくくする、特に機密性が高い情報は暗号化するといった対策が考えられます。
このような情報の特性を加味した対策に加えて、ログ分析のような基本の継続も欠かせません。不審なアクセスを早期に検知するため、定期的なチェックは漏れがないようにしましょう。
もう一つのカギは、ダークウェブモニタリングです。万一の事態に備え、自社とそのグループに関連する情報の流出を検知するモニタリング機能は、企業システムの安全な運用をサポートするツールとして、欠かせないアイテムの一つになりつつあります。