ダーク ウェブはインターネットのごく一部ですが、多くのサイバー犯罪者や脅威の主体が集中しており、通常は非公開のフォーラムを通じてアイデア、考え、ヒント、コツ、経験などを交換し合っています。
これらのサイバー犯罪者の多くはさまざまな商品やサービスも販売しており、Privacy Affairs は 2022 年のこれらのサービスの平均価格に関する新しいレポートを発表しました。
クレジットカードと金融サービス
クレジットカード情報は、様々な形で購入可能です。通常のクレジットカード番号に加え、氏名、有効期限、CVVコードなどです。サイバー犯罪者が他のウェブサイトで商品やサービスを購入するには、この盗まれた情報だけで十分です。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
クレジットカード情報は個別に購入することも、まとめて購入することもできます。購入するカードの数が多いほど、価格は下がります。データの価格を決定する最後の2つの要素は、銀行の所在国と、口座残高(既知の場合)です。
ダークウェブでは、口座残高が最大 5,000 米ドルの有効なクレジットカード データが平均 120 米ドルで販売されていますが、クレジットカード 1 枚あたりの価格は最低 15 米ドルです。
報告書によると、2021年12月には、約450万枚の盗難クレジットカードがダークウェブ上で入手可能だった。
盗まれた金融サービスアカウントも売買されています。残高が最低1,000ドルのPayPalアカウントは20ドルの価値がありますが、残高不明のハッキングされたPayPalアカウント認証情報50件は平均150ドルで売買されています。データによっては、さらに高額になる場合もあります。CashApp認証済みアカウントは最大800ドル、決済ゲートウェイ付きのStripe認証済みアカウントは最大1,000ドルの価値がある場合があります。
暗号通貨サービスも利用可能です。これらのアカウントは登録時に詳細な情報が必要となるため、偽造ID、運転免許証、パスポートを使ってアカウントを作成し、販売する詐欺師もいます。こうしたアカウントの価格は、Blockchain.comのアカウントで90ドルから、Xcoinsの取引プラットフォームアカウントで320ドルまで様々です。
個人情報、ソーシャルメディア、偽造文書
サイバー犯罪者にとって、アイデンティティをめぐるビジネスは非常に重要です。彼らは偽のアイデンティティを、クレジット詐欺、機密性の高い金融ウェブサービスへの登録など、実在のアイデンティティを必要とするあらゆる行為に利用します。
偽造文書は、実物として、あるいは本物らしく見えるスキャン画像として販売されることがあります。実物のパスポートは非常に高価で、EU加盟国のパスポートは3,800ドルで販売されることもあります。一方、あらゆる種類の仮想IDははるかに安価で、約150ドルで販売されています。
ソーシャル メディア アカウントは、ハッキングされた Twitter アカウントの場合は 25 ドル、ハッキングされた Facebook アカウントの場合は 45 ドルで販売されています。
マルウェアとDDoS攻撃
マルウェア感染は様々な価格で販売されています。ヨーロッパにある高品質の感染マシン1,000台へのアクセスは1,800ドル、低品質の感染マシン1,000台へのアクセスは120ドルで販売されています。
これらの価格の違いは、マルウェア感染の高品質を定義することで説明できます。これは、侵害されたコンピューターが常に高速転送速度でインターネットに接続されていることを意味します。
分散型サービス拒否攻撃(DDoS攻撃)の場合、攻撃対象によって価格は異なります。保護されていない攻撃対象ウェブサイトの場合、1時間あたり10,000~50,000リクエストの攻撃を受ける場合、最低10ドル、1ヶ月間で850ドルで対応可能です。保護されたウェブサイトの場合、複数のエリートプロキシを使用して、1日あたり20,000~50,000リクエストの攻撃を受ける場合、200ドルで対応可能です。
初期アクセスデータ
昨年急増したサービスの一つは、企業への有効なアクセスをオンラインで販売するものです。初期アクセス・ブローカーはダークウェブ上でますます目立つようになり、多くのサイバー犯罪者マーケットプレイスでサービスを販売しています。
最近ダークウェブ上で企業ネットワークへのアクセスを販売する約200件の投稿を分析したところ、カスペルスキーによれば、アクセスの価格は通常2,000ドルから4,000ドルの範囲だという。
これらの金額は、ランサムウェアの運営者が頻繁にこのようなアクセスを購入することで得る数千万ドルの利益と比較すると控えめに思えるかもしれませんが、わずか数時間または数分で企業環境に侵入する能力を持つ熟練した犯罪者にとっては、高すぎると感じられることがよくあります。
ダーク ウェブでそのような価格で販売されている最も一般的なアクセスの種類は、RDP アクセス用の有効な資格情報であり、これにより、攻撃者は組織の従業員になりすまして企業ネットワーク内に最初の足がかりを築くことができます (図 A )。
図A
これらの価格には上限がないようです。カスペルスキーによると、売上高4億6,500万ドルの企業のアクセスデータが5万ドルで売りに出されていたという事例もあります(図B)。
図B
個人情報やデータの盗難から身を守る方法
すべてのシステムとソフトウェアを常に最新の状態に保ち、パッチを適用してください。RDP、FTP、ウェブメール、ウェブパネル管理など、インターネットからの接続を受け入れるすべてのシステムに多要素認証を導入する必要があります。
フィッシング詐欺に引っかからないようにするために、すべての従業員に対して定期的な啓発キャンペーンを実施する必要があり、従業員にはソーシャル ネットワーク上で自分自身についてあまり多くを明らかにしないように指導する必要があります。
クレジットカード番号や ID などの情報は、ネットワーク上のどこにも暗号化されていない状態で保存しないでください。
ダークウェブ上のサイバー犯罪フォーラムやマーケットプレイスのほとんどでリークを監視し、ブランド名や企業名を探すことも可能です。しかし、この作業は非常に時間がかかるため、一部のサイバーセキュリティ企業がそのようなサービスを提供しています。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
