解説：システマチックに大量流通--クレジットカード情報を売買する「闇サイト」の実態

　インターネット上で盗難されたクレジットカード情報は、闇市場においていくらで取引されているのだろうか。RSAセキュリティは、独自の調査により、その実態の一部を明らかにした。

　同社によると、「CVV2データセット」と呼ばれる情報には、英語やドイツ語のサイトでは、1件あたり1.5ドルから3ドル、「オンライン詐欺の本場」とされるロシアのロシア語サイトでは1.5ドル程度の値がついているという。

　CVV2データセットとは、16桁のクレジットカード番号とカードの裏面に記載されているセキュリティ番号（CVV2コード）、カードの有効期限、請求先住所とカード名義の情報をまとめたものである。このデータがあれば、手元に実際のカードがなくてもオンラインでの物品購入などが可能になる。

RSAセキュリティ、マーケティング統括本部シニアマーケティングマネジャーの水村明博氏

　「データは、闇サイトを通じて流通されることになる。一般的にロシア語のサイトの方が取引価格の相場は低い。だが、かつての相場は1件1ドルであったことと比較すると値上がり傾向にある」と語るのは、RSAセキュリティでマーケティング統括本部シニアマーケティングマネジャーを務める水村明博氏だ。

　また、「DUMPSデータ」というカテゴリもある。これは、クレジットカードの磁気ストライプ情報に含まれるデータで、米機関によって定められているトラック2データ（DUMPSデータ）を指す。スキミングなどによって盗まれることが多い情報であり、この情報があれば、それをもとに偽造クレジットカードを作成し、悪用することも可能になる。

　DUMPSデータは、カードの種類によって相場が異なるそうだ。基本カードの場合には、1件あたり15〜20ドル程度とされているが、ゴールドカードやプラチナカードでは英語やドイツ語のサイトで80〜100ドル、ロシア語のサイトで20〜80ドル、法人用カードでは英語やドイツ語のサイトで50〜100ドル、ロシア語のサイトで30〜40ドルとなっている。使用限度額が大きいものが高額で取り引きされているという。

　そして、最近では金融機関の本人確認に対応するためのデータも闇市場で取引されているという。米国で本人確認のために頻繁に利用されている「社会保障番号」や「生年月日」「母方の旧姓」「秘密の質問に対する答え」などの情報がそれだ。

　オンラインバンキングやテレフォンバンキングの際には、送信手続きの際にこうした情報が必要になる。闇市場では、問い合わせ1件に対する課金方法が一般的で、社会保障番号や生年月日では1件あたり1〜3ドル、母方の旧姓では5〜6ドル程度で取引されるという。こうした、オンラインバンキングのログインにまつわる情報を広く網羅したものや、口座保有者に対するすべての詳細情報といったものになると、より高額で取引されているという。例えば、口座保有者に関するすべての詳細情報の場合、1件あたり5〜40ドル程度。オンラインバンキングのすべてのログイン情報の場合には、1件あたり50〜1000ドルが相場という。

　こうしたオンライン詐欺向けの情報を取引する「闇サイト」は、極めて洗練されたシステムで運営されているという。

　「取り引きの信頼性を確保するために正会員が紹介する制度をとっており、会員間の取引は預託サービス方式により、お互いに代金と情報を預託し、納得すれば料金を支払うという仕組みになっている。情報の出品者は評価され、質の高い情報を提供する出品者には“お墨付き”の評価が与えられる。そのほか、ポータルには脆弱性情報や成功体験紹介コーナー、捜査当局から逃れるためのノウハウ、さらには罠として広がっている個人情報などの『犯罪者にとってのブラックリスト』など、さまざまな情報が提供されている」（水村氏）

　こうして、悪意を持って盗まれた情報は世界的な規模で流通されることになる。情報を盗むフィッシングサイトは、平均49.5時間で消えており、その追跡は難しい。そして、フィッシングサイトは日本でも広がっており、今年に入ってから、VISA、マスターカード、クレディセゾンといったクレジットカード会社のサイトだけでなく、GREE、モバゲータウンなどの人気ソーシャルゲームサイトまでもがその標的になっているという。

　ネットでの課金サービスの利用や、クレジットカード情報などの入力に対する抵抗感は、以前に比べて薄れてきているかもしれない。しかし、こうした現実を知れば、改めてその取り扱いに慎重を期することの重要性を再確認できるのではないだろうか。自分の大切な情報と資産を守るのは自分自身であるという認識が改めて必要になっている。