個人情報の流出に注意!個人情報が、闇サイトで売買される?

 

流出した個人情報が売買される闇サイトが存在すると聞きました。私の個人情報は大丈夫ですか?

個人情報が売買される闇サイトは一般的にダークウェブと呼ばれ、実在します。
個人情報が何処から流出するのか、ダークウェブとは何なのか実際に見ていきましょう。

ダークウェブと呼ばれる闇サイトでは、実際に様々な個人情報が売買されています。中にはクレジットカード情報や電話番号、住所や顔写真まで、様々なものが販売されています。

これらの取引には、高い匿名性を維持するため、仮想通貨を利用した取引が頻繁に行われており、誰が何の為に取引を行ったのか、殆どわからないのが現状です。

画像はダークウェブに公開されている実際の闇サイトです。個人情報が売買されていることがわかります。本稿では、個人情報の売買とダークウェブの関係性について、詳しく解説していきます。

なぜ個人情報が売買される?

闇サイトでの個人情報の売買の主な理由は、その情報が犯罪行為や不正な活動に悪用されることです。コンピュータやネットワークを悪質に利用してシステムに無許可に侵入したり、不具合を引き起こしたり、データを盗むクラッキング行為は、クラッカー(ハッカーは誤用)と呼ばれます。このクラッカーたちは、不正に入手した大量のデータを他の犯罪者や企業に売却することで経済的な利益を得ます。

そして、これらの買い手は入手したデータを自身の犯罪目的に使用することが一般的です。クラッカーは、他人の情報を利用してサイバー攻撃を仕掛けるため、個人情報の入手を積極的に求めます。

これにより、彼らはシステムへの侵入、不正アクセス、ランサムウェア攻撃など、多岐にわたる悪意ある行動を展開します。近年のサイバー犯罪はなかなか検挙されにくく、犯罪者たちにとって個人情報はますます需要が高くなっています

このような状況が、闇サイトでの個人情報取引を助長しています。個人情報が取引されることで、サイバー犯罪者たちは匿名性を保ちつつ、様々な悪質な行為を行うことが可能になります。そのため、個人情報の適切な保護やセキュリティ対策がますます重要となっています。

売買された個人情報は何に使われる?

個人情報は悪意ある第三者にとって金銭的な価値があります。クレジットカード情報、銀行口座情報、個人の識別情報などが売買され、これを元に不正な取引や詐欺行為が行われます。

これにより、犯罪者は経済的な利益を得ることができます。実際に流出した個人情報はさまざまな犯罪に利用されることがあり、その一つがなりすまし犯罪です。

なりすまし犯罪は、個人や企業の名簿やクレジット番号、住所などの情報を利用して不正にお金を盗んだり、アカウントを乗っ取って犯罪に関与したり悪質な投稿を行ってアカウントの持ち主に迷惑をかけるといったケースがあります。

また、企業を装った詐欺や、盗んだ情報を用いて恐喝を行うといった事例も存在します。企業や組織のデータベースにアクセスして取得された情報は、競合他社に対して有利な情報として利用されることがあります。

これには製品計画、営業戦略、研究開発データなどが含まれ、企業の競争優位性を奪うために利用されることもあります。また、サイバー犯罪者やハッカーは、他人の情報を利用してサイバー攻撃を行うために個人情報の入手を求めます。

これにより、彼らはシステムへの侵入、不正アクセス、ランサムウェア攻撃などを行います。このように、盗まれたデータは個人的な問題に加えて、企業にも損害を与えることがあります。こうした犯罪は他人の情報を用いるため足が付きにくくなっており、非常に厄介です。したがって、個人情報の保護はますます重要となり、セキュリティ対策の強化が求められています。

個人情報の管理や取引においては、法的な枠組みとともに倫理的な配慮も欠かせません。これにより、個人と企業の双方が安心してデジタル環境を利用できるような社会の構築が求められています。データの保護に関する法的な規制も進化し、個人情報の収集、利用、保管に関する透明性と責任がますます重要視されています。

個人情報が流出する経路とは? 

情報漏洩はさまざまな要因により発生します。また、個人での被害と組織での被害とで流出の経路は大きく異なります。

こうした個人被害と組織被害の脅威をランキング形式にまとめた「情報セキュリティの10大脅威」という資料が、独立行政法人情報処理推進機構(IPA)によって毎年公表されています。

以下では、「情報セキュリティの10大脅威 2023」で挙げられている、個人情報の漏洩を招く主要因を紹介します。

1位 フィッシングによる個人情報等の詐取

フィッシングとは、公的機関や金融機関、ショッピングサイト、宅配業者等の有名企業を騙るメールやSMS(ショートメッセージサービス)を送信し、正規のウェブサイトを模倣したフィッシングサイト(偽のウェブサイト)へ誘導することで、認証情報やクレジットカード情報、個人情報を入力させて詐取する手口です。

また、検索サイトの検索結果に偽の広告を表示させて利用者にアクセスさせ、悪質なサイトに誘導して金銭的な詐欺等を行うケースも存在します。

フィッシングによる情報漏洩を事前に防ぐには、電子メールやSMS内のリンクはクリックしない、IDやパスワードの使いまわしをしない、携帯電話会社などが提供するセキュリティ設定を活用する等があります。

2位 ネット上の誹謗・中傷・デマ

SNS(ソーシャル・ネットワーキング・サービス)等の匿名で利用できるサービスで特定の個人あるいは企業への誹謗・中傷の行為が行われることが問題となっています。

こうした誹謗中傷などは、個人が匿名性を利用した感情の発言により他人や企業への風評被害を伴う事も問題ですが、DM(ダイレクトメッセージ)などで他人の個人情報を売買し、買い手が得た情報をSNSで発信しデマを交えて拡散するといった事例も確認されています。

こうして拡散された情報は、それを見た第三者が悪意の有無に関わらず、真偽を確認せずに拡散することでさらに広がります。

また、不正なリンクにアクセスしてサービスを認可してしまうことでアカウントが乗っ取られて悪質な投稿が行われる、日頃の投稿から個人を特定できる投稿が見つかることで個人情報が見ず知らず流出してしまうといった事例も存在します。

SNS等における個人情報の流出を防ぐには、むやみにリンクへアクセスしない、サービスの認可を行う際は必ず説明を読む(アカウントの操作の許可等は特に注意する)、個人が特定できるような写真や文章は投稿しないといったものが挙げられます。

3位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求

個人の秘密を家族や知人にばらすと脅迫したり、身に覚えのない有料サイトの未納料金を請求したりするメール、SMS(ショートメッセージサービス)、SNS(ソーシャル・ネットワーキング・サービス)等を利用した脅迫、詐欺による金銭被害が発生しています。

例えば、近年の情勢を利用した文句もあり、2022年はコロナ禍やウクライナの情勢を悪用した詐欺が行われています。被害を抑える手段として考えられるのは、以下の方法があります。受信した脅迫、詐欺メールは無視しましょう。

受信したメールに、被害者のパスワードが記載されていても、ハッキングされていることはほぼありません。しかし、実際に使用しているパスワードが記載されていた場合は漏洩している可能性があるのでパスワードを変更しましょう。

メールに記載されている番号に電話をしない事を気を付けましょう。受信した脅迫や架空請求のメールについて、専門機関に相談したい場合は、そのメールに記載された連絡先ではなく、自身で調べた正規の電話番号やメールアドレスに連絡しましょう。利用しているサービスの多要素認証の設定を有効にしましょう。

闇サイトとは?

ウェブサイトとは、ざっくりと3つに大別することができます。これは、アクセスのしやすさを基準に分けられています。Webはインターネットを始めとしたネットワーク上に構築されており、そのアクセスのしやすさが基準となってます。

その中でも最もアクセスしづらいとされるものがダークウェブと呼ばれています。ダークウェブはそのアクセスの難しさや匿名性の高さから、犯罪の温床となっています。実際に、ウェブの3種類について見ていきましょう。

サーフェイスウェブ

まず1つ目はサーフェイスWebです。表層Webとも呼ばれています。Googleなどの検索エンジンから用意にアクセスできるウェブサイトに構成されています。 このサイトもサーフェイスWebの一つと言えるでしょう。 また、閲覧する際に特殊なブラウザや設定を必要としないので、ChromeやSafariなどのWebブラウザからもアクセスが可能で誰でも利用できます。

ディープウェブ

2つ目がディープウェブです。深層のウェブとも呼ばれています。検索エンジンの検索ではアクセスできない、Webサイトがこれに該当します。これには、非公開のデータベース、内部ネットワーク、支払いが必要なサイト、登録が必要なフォーラムなどが考えられます。 ログインにより閲覧できるWebページはディープウェブの一つと言えるでしょう。

ダークウェブ

最後がダークウェブで、闇サイトとも呼ばれています。ディープウェブと同様に検索エンジンの検索ではアクセスできない、匿名性の高いサーバーに構築されています。

Webブラウザからのアクセスはできないことが多く、情報の授受には「Torブラウザ」等の専用ブラウザが必要になります。このような匿名性の高さから犯罪行為に悪用されるケースが多く、サイバー犯罪者の温床となっているともいわれます。

ダークウェブの発生の基礎となったのは、米軍で開発されたオニオンルーティングというネットワーク通信での情報秘匿技術です。複数のサーバーを経由する事で、玉ねぎのように層を作り、ユーザーの匿名性を確保します。

このオニオンルーティングは、Tor(The Onion Router)と呼ばれる公開されているフリーのソフトウェアになっています。ソフトウェアそのものに違法性はないですが、性能の高さから、さまざまな組織で利用されており、犯罪に利用されるケースも多々あります。

ダークウェブでは違法性の高い情報がやり取りされています。最初にも述べたように、麻薬などの犯罪性のある違法な取引情報、企業の機密情報、各種システムへのログインIDとパスワードのリストなど、さまざまなデータがやり取りされています。

流出を防ぐためには?

流出している個人情報や営業秘密の多くは、基本的に企業がサイバー攻撃を受けた場合によるものが多いです。最近では、大手IT企業のWebサイトが攻撃を受けていたことが発覚し、この攻撃により10万件以上に上るクレジットカード情報や個人情報が流出しました。

ダークウェブと聞くと怖いと思うかもしれません。しかし、実際のところ、私達のような一般的なインターネットユーザーが、ダークウェブのようなレベルのインターネットに接触することはまずないでしょう。とはいえ、自分自身や家族のオンライン上の安全を保護するためにも、できる限りの対策を講じることは重要です。

まずはデバイスを保護することが第一の防御策です。パスワードは、アカウントごとに異なる独自で強固なものを使用し、パスワードマネージャーなどで一括管理するようにしましょう。

また、マルウェアをはじめ、その他の脅威から保護するために、各デバイスにウイルス対策ソフトをインストールすることが重要です。さらには、VPN(仮想プライベートネットワーク)を使用することでインターネット通信が暗号化されるので、より堅固なセキュリティ対策になります。

「VPN」は「Virtual Private Network」の略で、日本語では「仮想専用線」と呼ばれます。送信側、受信側にそれぞれに設置した機器で「カプセル化」と呼ばれる処理を行うことで、第三者には見えない仮想的なトンネルを形成して通信する仕組みです(「トンネリング」)。

また、通信時には正規の利用者であることを確認するために認証を行う、万一トンネルに侵入された場合に備えて通信内容は暗号化して送信する、などの技術を併せて採用することで、さらに通信の安全性を高めています。これらの技術により、拠点間をいわば仮想の専用線で結び、安全に情報をやり取りすることができるわけです。

SNSは、家族や友人との繋がりを大切にしていますが、何でもかんでも共有せずに、クリックする前に自宅の住所など個人情報が漏れていないか、危険な情報はないかを確認するようにしましょう。

私たちの情報を守る為に必要なこと

情報セキュリティに対するリテラシーを高めることもダークウェブへの情報流出の予防に繋がります。安全が確認できていないWebサイトに安易に個人情報を入力しないことや、暗証番号を複雑にし、定期的に変更することを心掛けるようにすることが必要です。

また、セキュリティソフトウェアの導入によって、セキュリティトラブルを避けておくことも基本的な対処となります。導入するのが難しい人は、PCのセキュリティソフトを定期的に更新することも有効です。

サイバー攻撃は既存の方法だけでなく、常に新たな手法が生み出されているので、確実にすべての情報流出を防ぐことはできません。

よって、情報漏洩があることを前提にした考え方のゼロトラストを採用すべきでしょう。「ゼロトラスト」とは「信頼(トラスト)をしない(ゼロ)」ことを前提としてセキュリティをおこなうことです。

会社が保存している機密情報や重要なデータは、社内や社外を問わずあらゆる方向からアクセスが可能です。そのため、常に情報漏洩やマルウェア感染のリスクにさらされています。会社が保存している情報にアクセスするすべての相手を信用することなく、安全性を検証するセキュリティをおこなうことがゼロトラストの考え方です。

また、情報流出後の対策としてダークウェブモニタリングがあります。情報漏洩後は情報流出したことをいつ早く知る必要があるので、その対策として一番多く活用されています。

ダークウェブモニタリングとは、企業や個人に関する情報がダークウェブ上でやり取りされていないかを定期的にパトロールし、脅威情報の調査、報告を行うサービスです。ダークウェブへの情報流出を早急に検知し、初動を取るために非常に有用です。

もし、重要なデータが漏れてしまっても、早急に検知し対処することが近年の企業や組織には求められます。

まとめ

個人情報の保護において、ダークウェブと呼ばれる匿名性の高い領域での個人情報売買の現実に対する警鐘が鳴り響く。通常の検索エンジンではアクセスできないダークウェブは、悪意ある者たちにとって取引の土壌となり、そこで個人情報が取引されている疑いが浮上しています。企業や犯罪者の需要により、個人情報は高い価値を持ち、サイバー犯罪の複雑性が増しています。

個人情報が一度流出すると、なりすまし犯罪や企業詐欺、恐喝など、多岐にわたる悪用の可能性があります。これにより被害は個人だけでなく、企業にも及び、サイバー犯罪はますます難解かつ深刻なものとなっています。

情報漏洩の主な経路は、フィッシングや誹謗中傷、メールやSMSによる脅迫・詐欺などが挙げられ、これらに対する防止策としての注意が喚起されています。

ダークウェブの仕組みと特徴についての解説では、通常のWebサイトとは異なり、匿名性が高いため、違法な情報がやり取りされやすい環境であることが強調されています。

その基盤となるオニオンルーティング技術が、匿名性の確保に寄与している。ダークウェブでは麻薬の違法な取引情報や企業の機密情報、ログインIDとパスワードのリストなどが取引されており、その影響は深刻です。

デバイスの保護とSNS上での注意が重要視され、強固なパスワードとウイルス対策ソフトの利用が推奨されています。SNS上では安易に情報を共有せず、慎重に行動するよう呼びかけられています。

情報漏洩の防止においては、セキュリティリテラシーの向上が求められ、個人情報を無暗に登録せず、パスワードの管理やセキュリティソフトの導入が基本とされています。

ゼロトラストとは、あらゆる相手に対して信頼を置かず、セキュリティを確保する考え方であり、情報漏洩が前提であるという視点が採用されるべきだとされています。ダークウェブモニタリングも情報漏洩後の早急な検知と対策を可能にし、セキュリティを向上させる一環となります。

これらの対策と理解を踏まえ、個人および企業は情報漏洩から身を守り、セキュリティを向上させる一助となるでしょう。個人情報の価値が高まる中、サイバー犯罪の進化に備え、絶えず新たな手法や技術の導入が求められる現状が浮かび上がります。

タイトルとURLをコピーしました