第696号コラム:松本 隆 理事(株式会社ディー・エヌ・エーシステム本部 セキュリティ部)
題:「日本の漏えい情報を狙うバイヤーたち」
アンダーグラウンドには、企業や組織から漏えいした情報を取り扱うリーク情報専門のコミュニティがいくつも存在する。そこで商品としてやり取りされる情報は、信頼できない怪しいものが大半である。しかし、中には攻撃グループに直結するブローカー(攻撃グループとの取引を仲介する業者)が取り仕切る、出処が確かなものもある。そのような数少ない「当たり」を探して買取りスレッドを立てるのがバイヤーだ。バイヤーはデータの提供元と交渉し、レピュテーション情報を調べ、入手したサンプルデータを分析し、自分の目利きを信じて商品を購入する。
例えば、人気アニメ「エヴァンゲリオン」シリーズのグッズを扱う公式ストア「EVANGELION STORE」で不正アクセスがあり、同サイトでクレジットカード決済を利用した顧客のカード情報及びID/PASSが漏えいした可能性があると報道されたのは2021年11月30日だった。すると翌日の12月1日にはリーク情報を取り扱うアンダーグラウンドコミュニティに「フレッシュな日本のデータベースを購入希望」というコメントが新規投稿された。投稿者の経歴を調べると、過去にもPeatixやOmiaiなどの大きな漏えいが取りざたされるたびに、購入を試みていることがわかった。日本の漏えい情報を専門に取り扱うバイヤーのようだ。
このコラムでは、このようなアンダーグラウンドで活動するバイヤーを、購入目的ごとに以下の3タイプに分けて説明する。
(1)悪用を前提とした再販目的
購入した情報を悪用を目的とした利用者に再販する、いわゆる仲買人として活動するバイヤー。再販目的のため、クレジットカード情報や、漏えいした様々な個人情報が紐づいたFullz(Fullzinfo:フルズ)といった、比較的金銭的価値の高いデータを中心に収集する。再販目的のバイヤーは、自分の顧客の購買傾向やトレンドを分析したり、買い付けた情報の品質チェックを行うことによって、付加価値を高めて利用者に提供する。また、特定の「パパ活アプリ名」や「婚活マッチングアプリ名」のように、買い付け時点では大きな漏えいが確認されていない具体的なサービス名を指定しているケースがある。顧客から具体的にデータの条件が提示されており、合致するデータを買い付けしていると推測する。
(2)自分で悪用する目的
購入した情報を自分が悪用するために購入していると思われるバイヤー。目的が明確なため、買い付けする条件も「日本人もしくは台湾人のデータベースで以下の4つのフィールドを含むこと。1.氏名 2.電話番号 3.性別 4.生年月日」などすぐに利用可能で、具体的な条件を提示しているケースが多い。再販目的のベンダーと混同されることも多いが、販売履歴の有無を調べると区別がつきやすい。また、その案件その場限りのアカウントで活動する場合が多いため、再販目的のバイヤーに比べると、アカウントのレピュテーションが低く、活動期間も限定的であるケースがある。
(3)コレクション自体が目的
漏えい情報の収集自体が目的のバイヤー。コミュニティには一定数のリーク情報収集家が存在する。漏えい情報収集マニア以外にも、自社のサービスに組み込むためにデータを収集するインテリジェンスサービスベンダ、研究目的のリサーチャ、企業や組織から分析を依頼されたコンサルタントなどもこちらに分類したい。コレクションが目的のバイヤーは「日本のデータベース」など大きなくくりで買い付けする場合もあれば、「Collection #1」「Peatix」「Omiai」など、過去に漏えいした特定のデータセットや案件名を提示して購入希望を出す場合もある。
再販目的のバイヤーについて少し深堀りしてみたい。
あるコミュニティで活動するバイヤーは2021年6月から活動を開始し、日本でサービス展開している「パパ活アプリ名」や「婚活マッチングアプリ名」「通信アプリ名」のアカウントデータを買い付けしている。また、仕入れたデータをこのコミュニティも再販していることが活動履歴から伺える。バイヤーへの連絡手段はTelegeramのみ。買い付けるデータをテストするために少なくとも1k以上のデータサンプルを求めている。過去に古株のベンダーから「20k以上のサンプルを要求した【いけ好かないやつ】」として悪いレピュテーションをつけられている…
リーク情報を売買するコミュニティで活動するバイヤーには、いくつかのタイプがあり、彼らは目的をもって金銭を支払い、情報を買い付けている。バイヤーの中でも特に仲買人として活動するバイヤーは、情報を悪用しやすい形で市場に提供することにより、サイバー犯罪のすそ野を広げ、漏えい情報を広く流通させる大きな役割を担っている。我々のような対策をする側にとって、コミュニティへの「商品」の供給を断つ観点での、漏えいを防ぐ対策が重要であることは変わらない。しかし、盛況な漏えい情報の市場を見るたびに、仮に漏えいしたとしても、再販や悪用のしやすさを減ずるといった観点も重要だと強く思う。サイバー犯罪の分業化が進んでいるという話はよく話題に上るが、組織で情報漏えい対策を担っている皆さんも、一度アンダーグラウンドコミュニティを深堀りしてみてはどうか。日本の漏えい情報を取り巻く現状について、新しい発見を得ることができるだろう。
【著作権は、松本氏に属します】