ハッカーに盗まれたデータの行方
攻撃者がハッキングしたデータをどうするのかがわかれば、疑問の答えが明らかになるだけでなく、自分のデータが実際に盗まれた場合に被害を最小限に抑える上でも役立ちます。(以下に示す情報は、ハッカーが盗んだ情報から利益を得るための最も一般的な方法の概要です。個々のケースはこれとは異なる可能性があり、金銭以外の目的でのハッキングの場合は、これには当てはまりません)
攻撃によってデータを盗まれた場合、多くの犯罪者は、「データ流出後のハッカーによる行動のチェックリスト」と呼ばれる以下の手順を実行します。
- 盗んだデータの目録を作成する – ハッカーは、盗んだデータファイルに、名前、住所、電話番号などの個人情報、クレジットカードの詳細などの金銭取引情報が含まれていないかを調べます。
- 個人情報を販売する – ハッカーは次に、名前、住所、電話番号、メールアドレスなどの個人情報をパッケージ化し、一般的にはまとめて販売します。情報が新しいほど、価値が高くなります。Quartz によると、ID 番号、住所、生年月日、クレジットカード情報などが揃っている個人情報であれば、1 件あたり 1 ~ 450 ドル、メディアの価格は 21.35 ドル程度とされています。
- 価値の高いデータを探す – ハッカーは次に、認証情報を目録化して、価値の高いアカウントを探します。政府や軍関連のアドレスや大企業のメールアドレスとパスワードは、特に価値が高いとされています。パスワードを再利用する人も多いため、ハッカーは、軍や企業のアカウントの盗んだ認証情報を使って他の企業を標的にすることがよくあります。たとえば、2012 年に Dropbox で発生したデータ流出には、同じ年に LinkedIn 発生したデータ流出で盗まれた認証情報が使用されました。ハッカーは、そのようなハッキング行為を自ら計画する場合もありますが、ダークウェブではるかに高い値段で販売することもあります。
- カード情報を販売する – クレジットカード番号のような金銭取引情報がパッケージ化されて、まとめて販売されます。知識があれば、10 人あるいは 100 人といった単位でクレジットカード情報を簡単に購入できます。通常、「ブローカー」がカード情報を購入し、摘発を逃れるために、「カーダー」と呼ばれる、カードを使った犯罪を専門にする集団にカード情報を転売します。「カーダー」は最初に、盗難されたクレジットカードを使って店舗や Amazon でギフトカードに購入し、それらのカードを使って物品を購入し、その後に、eBay などの正規のチャネルや闇のダークウェブを使って、購入した電子機器類を販売します。盗難されたクレジットカードデータから利益を得るプロセスに関する詳細は、こちらをご覧ください。
- 一括販売する – ハッカーは数ヶ月後に、認証情報だけをまとめて、値段を下げて一括販売します。最近は、多くの企業がデータ流出を発見して対策を取る可能性が極めて高いため、この段階になれば、ほとんどの認証情報は使い物になりませんが、たとえば、LinkedIn の認証情報が大量に含まれるデータベースであれば、引き続き価値があります。
ダークウェブという言葉に馴染みのない方もいらっしゃるかと思いますが、これは、通常の方法ではアクセスできないように意図的に作成され、特別なソフトウェアでアクセスする必要がある、暗号化された一連のネットワークを意味します。ただし、「ダークウェブ」という言葉はほとんどの場合に、IP アドレスを隠すリレーシステムである、Tor ネットワークでホスティングされているコンテンツという意味で使われます。Tor などのネットワーク(他にもありますが、Tor が最も有名です)を使用すれば、インターネット接続を監視する誰かに自分が訪問したサイトを知られたり、自分の物理的な場所を Web サイトに特定されたりすることはありません。このような匿名性から、かつての違法薬物取引サイト「シルクロード」などの多くの違法サイトが、ダークウェブでホスティングされており、盗まれたデータは一般的には、このようなダークウェブのサイトで販売されます。
以上を踏まえ、一般ユーザは、どのような対策を実施すべきでしょうか。
1 点目に、オンラインアカウントごとに異なるパスワードを使用するようにしましょう。そうすることで、1 つのアカウントの情報が盗まれても、他のアカウントに被害が及ぶことはありません。2 点目に、自分の個人情報が盗まれた可能性がある場合は、すぐに対策を実行してください。データ流出が報告された企業にアカウントを登録している場合は、すぐにそのアカウントのパスワードを変更します。Microsoft のセキュリティ研究者が運営している、データ流出情報のダンプを検索できる Web サイト、haveibeenpwned で、自分のアカウントが流出対象に含まれているかどうかを確認できます。自分のデータが盗まれるのを完全に防ぐことはできませんが、すぐに対策を実行することで、被害を最小限に抑えることができます。