実際に起きているこわい話:2400万人分の個人情報がマーケットプレイスにて販売
CHEQ
|サイバー犯罪 | 2022年7月29日
被害額及び被害内容:
- 総額19億円分※の詐欺被害
- 氏名、生年月日、パスワード、クレジットカード番号を含む2400万人の米国市民の情報の流出
被害時期:2022年6月7日
被害を受けている業界:多岐に渡る
脅威の種類:クレジデンシャルスタッフィング – 盗まれたPII(個人を特定できる情報)が不正使用されることにより、アカウントの乗っ取りが実行される可能性がある
クレジデンシャルスタッフィングとは:
クレジデンシャルスタッフィングとは、ユーザー名や E メールアドレスのパスワード等の個人情報のリストを取得するために使用されるサイバー攻撃であり、マルウェアによって引き起こされるデータ侵害により引き起こされます。
何が起きているのか:
米国にて個人情報を売買する違法サービス「SSNDOB」 は、様々なドメインの Web サイトを使用したデジタルマーケットプレイス(Digital Market Place、DMP)であり、数年の間に、世界中の数千万人分の PII を販売していました。この事実が発覚し、日本の国税庁にあたる米国の IRS(Internal Revenue Service) と FBI による調査の結果、約2400万人の米国市民の PII がオンラインで購入できることがわかりました。前述のように、これらの PII は、そもそもサイバー犯罪者がクレジデンシャル・スタッフィング攻撃等により、盗み出したものです。
これらの数千万に及ぶ個人情報の販売は、世界中の犯罪計画を財政的に支援し、犯罪者に19億円以上の収益をもたらしたと報告されています。
注意すべき理由:
数千万もの人々の PII がオンラインで販売され、それにより得られた収益が、他の犯罪活動の資金として使用されたとういう事実は、すでに十分に恐ろしいものです。
しかし、この話の最も恐ろしい部分は、オンラインで入手可能な情報を購入したサイバー犯罪者が、実在の人物を装って、SNS や金融機関にてアカウントや口座を作成できることです。何が本物で何が偽物であるかが非常に曖昧になってきている昨今、インターネットへの信頼が低下しているのも当然でしょう。このような状況は、金融犯罪や、ロイヤルティプログラムの破綻、さらには攻撃者が実在の人物になりすまして加担する様々な詐欺行為を引き起こしてしまいます。
こうした「こわい話」が Go-To-Market 戦略に与える影響については、アカウントの乗っ取りページよりご確認ください。
※1米ドル=100円にて換算
元の記事:Horror Stories: Marketplace sold 24M US citizens information