Cyber Threat Intelligence News

深刻化するサイバー空間における脅威への対抗手段として、国家の防衛のみならず民間においても必須のものとなったCyber Threat Intelligence(サイバー脅威インテリジェンス)を活用するために有益な情報を提供します。

個人情報盗難についてのFTCの注意喚起とダークウェブ監視サービス

25日(米国時間)、US-CERTのCurrent Activityに、FTC(連邦取引委員会)による個人情報盗難についての注意喚起が掲載されました。*1

www.us-cert.gov

このFTCによる注意喚起では、個人情報が不用意に公開されてしまった場合にどれだけ早く犯罪者の手に渡ってしまうかについて、ワークショップでの実験結果が報告されています。

このワークショップは、24日(米国時間)にワシントンDCのナショナル・コンスティテューション・センターで行われたものです。

この実験では、いかにも本物らしく見せた偽の個人情報(名前・住所・Eメールアドレス・電話番号・クレジットカード番号・ビットコインウォレット・オンラインペイメントサービス)を100個作成し、犯罪者が窃取した情報を公開するために利用するWebサイトに投稿しました。*2

そうしたところ、投稿されてから最初にこの情報が取得されるまで9分間しか掛からず、合計では1,200回以上も情報取得の試みがあったということです。この偽の個人情報に含まれるクレジットカード情報が、様々な買い物に使われた(当然、失敗した)ことも確認されています。

 FTCの注意喚起では、個人情報をこのような危険に晒さないための手段として、二要素認証の重要性などに触れられています。

Dark Web Monitoring ダークウェブの監視

もちろん、個人情報や企業の機密情報が外部に漏れることを未然に防止する対策を取ることが重要であることはいうまでもありません。しかし、もし重要な情報が漏れてしまった場合に、それらの情報が闇市場における取引の対象になっていないか確認するにはどうすればよいでしょうか。

MOTHERBOARDは、2016年3月に「活況と闇、ダークウェブ監視ビジネス」と題する記事を掲載しています。

motherboard.vice.com

この記事では、ダークウェブから金銭を得る二つのグループがあり、そのうち一つは犯罪者で、もう一つは法執行機関や私企業の要請を受けて犯罪者の動きを追う企業であるとしています。

一般の企業が自身の人的リソースのみを用いて常時、ダークウェブなどで自社やその顧客に関連する情報が取引されていないかを見張ることは現実的に難しいため、代理でそのような監視を行うサービスを提供する企業が存在しています。

記事によると、それらのダークウェブの監視サービスを提供する企業には二つの異なるアプローチがあるとのことです。一つのアプローチは、アルゴリズムにより自動的にカード情報や知的財産などの盗難データの市場を巡回することで監視を行います。そしてもう一つは、より人間的なアプローチで、アナリストがハッキングフォーラムなどで諜報活動を行い、そこでの会話に上るマルウェアや取引されるデータダンプについて情報を収集します。

このような監視サービスを必要としている企業は、まだそれほど多くないのが現状です。しかし、違法な盗難情報の売買が行われる闇市場の規模が拡大を続ければ、近い将来、日本においても一般の企業がこのようなサービスの導入を検討することを迫られる日が来るかもしれません。

*1:US-CERTの Current Activityには、現在進行形で報告がなされている、頻度が高く影響も大きいセキュリティ・インシデントのサマリーが掲載されます。

*2:Pastbinなどのサービスが違法な情報開示に利用されることがあります。