はじめに:フィッシング詐欺のデータライフサイクル
カスペルスキーの新たな調査により、フィッシング詐欺で盗まれたデータの完全なライフサイクルが明らかになりました。この調査は、被害者情報が瞬時に商品化される洗練された「闇市場のコンベアベルト」の存在を浮き彫りにしています。不正なリンクのクリックから、ダークウェブ市場での認証情報の最終的な売却まで、デジタルな足跡を辿ることで、自動化されたツールがいかに個人情報の盗難を産業化しているかが示されています。
進化するデータ詐取の手口
報告書は、脅威アクターによるデータ詐取方法の著しい進化を指摘しています。従来の手法では、PHPスクリプトを使って認証情報を攻撃者のメールに転送していましたが、配信の遅延やプロバイダーによるブロックのため、この方法は減少傾向にあります。代わりに、サイバー犯罪者は以下の手法をますます採用しています。
- Telegramボット:リアルタイムでのデータ持ち出しを可能にし、被害者が「送信」ボタンを押した瞬間に、盗まれた認証情報を攻撃者のデバイスに直接送信します。
- 「サービスとしてのプラットフォーム」(PaaS)管理パネル:より高度な操作では、BulletProofLinkなどの商用フィッシングフレームワークが使用されます。これらの管理パネルは、攻撃者がリアルタイムの統計情報を閲覧したり、国別に盗まれたデータをフィルタリングしたり、クレジットカード情報やログイン認証情報の有効性を自動的に確認したりできる、一元的なダッシュボードを提供します。
狙われる情報とデータの流通経路
2025年1月から9月にかけて実施された攻撃の分析では、即時の金銭的窃盗よりも、長期的なアクセスが重視されていることが明らかになりました。調査によると、フィッシング攻撃の88.5%がオンラインアカウントの認証情報を標的としていました。対照的に、個人情報(氏名や住所など)は9.5%、銀行カードの直接的な窃盗はわずか2%でした。
一度収集されたデータは、4段階のエコシステムに入ります。まず、大量の「ダンプ」として統合され、次にダーク市場のアナリストによる検証が行われます。その後、専門フォーラムで販売され、最終的に標的型攻撃に利用されます。アナリストは、新しい漏洩データと過去のデータを組み合わせて、被害者の包括的な「デジタル履歴書(デジタルドシエ)」を作成することがよくあります。
侵害されたアカウントの価値は、アカウントの種類、残高、二要素認証(2FA)の有無によって大きく異なります。銀行口座や暗号通貨プラットフォームの口座は最高の高値がつき、ソーシャルメディアのログイン情報は、ソーシャルエンジニアリングキャンペーンに利用するためにわずかな価格で売買されます。
盗まれたアカウントの闇市場価格
2025年の盗まれたアカウントの平均市場価格は以下の通りです。
- 銀行口座:70ドル~2,000ドル(平均350.00ドル)
- 暗号通貨プラットフォーム:60ドル~400ドル(平均105.00ドル)
- 電子政府ポータル:15ドル~2,000ドル(平均82.50ドル)
- オンラインストア:10ドル~50ドル(平均20.00ドル)
- 個人文書:0.50ドル~125ドル(平均15.00ドル)
- ソーシャルメディア:0.40ドル~279ドル(平均3.00ドル)
- メッセージングアプリ:0.06ドル~150ドル(平均2.50ドル)
長期的な脅威と対策
さらに、盗まれた生体認証データや書類のスキャン画像は、個人情報の盗難やディープフェイクの作成にますます利用されています。この調査は、脅威が最初の販売で終わるわけではないと警告しています。幹部やIT管理者などの高価値のターゲットは、多くの場合「ホエーリング攻撃」の標的とされます。古いパスワードや以前の雇用主から侵害されたメールなどの過去のデータを悪用することで、攻撃者はターゲットの現在の組織に侵入するための説得力のあるフィッシングメールを作成できます。
これらのリスクを軽減するために、専門家は以下の対策を推奨しています。
- 侵害が疑われる場合は、すべてのサービスで直ちにパスワードを変更すること。
- 多要素認証(MFA)の広範な導入。
- 既知の侵害における個人データ漏洩を監視する専門サービスの利用。