インターネット上の"闇経済"に関する調査を行なっている米Symantecは11月24日(現地時間)、最新の調査報告書「Symantec Report on the Underground Economy」(以下「アンダーグラウンドエコノミーレポート」)を発表した。これにともない同社は12月3日、日本メディア向けに説明会を開催。米国本社 セキュリティレスポンス バイスプレジデント Vincent Weafer氏より闇経済の実態に関する説明が行なわれた。同レポートでは闇取引の舞台に使われているIRC (Internet Relay Chat)サーバに注目。そこではクレジットカード情報など、総額2億7,600万ドル以上の情報が売買され、その潜在的価値は取引金額をはるかに上回ることが明らかにされた。

「アンダーグラウンドエコノミーレポート」の但書き

闇取引の場としてのIRCサーバ

チャットに利用されるIRCサーバが、いわゆる"アンダーグラウンドエコノミーサーバ"として闇取引に使われているケースがあるという。米Symantecは2007年7月1日から2008年6月30日までの1年間、闇経済に関連するIRCサーバ上のチャンネルを調査。「シマンテック アンダーグラウンドエコノミーレポート」にまとめた。同レポートでは、闇取引の舞台が、警察機構の監視や"おとり捜査"の対象になりやすい(関連記事)Webサーバ上のフォーラムから、匿名性がより高いIRCサーバに移行していることに言及。調査対象となったIRCサーバの平均存続期間は10日間で、離散集合しやすい面を利用し、違法に入手した情報の売買、広告掲出が展開されている実態が浮き彫りとなった。利用者は「個人のゆるやかなつながり」(Vincent氏)もあれば「高度に組織化されたグループ」(同)も見られるといい、活動舞台となるIRCサーバの主な所在地は北米が46%、欧州/中東/アフリカが38%、アジア/オーストラリアが12%。調査対象となったIRCサーバを国別で見ると、米国が全体の41%でトップ、ルーマニアが13%で2位だった。

神出鬼没のIRCサーバ

IRCサーバの地域別内訳

クレジットカード情報と銀行口座が取引上位

IRCサーバ上でやりとりされる情報は、クレジットカード情報や(残高のある)銀行口座の認証情報、電子メールアカウントなど。広告・宣伝状況から推定するに総額2億7,600万ドル以上の価値になるという。もっとも人気の商材はクレジットカード情報。1枚あたり0.1~25ドルで取り引きされ、価値全体の59%を占めるほか、広告掲出数も最多。購入者がそれらを利用した場合の潜在的価値は、クレジットカード情報だけでも53億ドルになると推定される。なお、広告内容をより詳細に分類すると、クレジットカード情報でも、とくにCVV2番号(カード裏面の3桁または4桁の照合番号)付きのものが多く宣伝されていた。銀行口座情報の取引も多く、口座の平均残高は4万ドル、潜在的価値は推定17億ドル。決済には現金取引は用いられず、主にオンラインバンクを利用(全体の69%)、中には仲介役が介在するケースも見られる。

闇経済で扱われる情報(商品)の価値

アンダーグラウンドで宣伝されている商品の内訳

こうした市場を支えるエコシステムも存在するようだ。ネットの闇市に並ぶ情報の入手経路はフィッシング詐欺やスキミング、データベース侵入などで、その売買によって得た資金が詐欺専門家の雇用や専用ツールの購入などに投資されている。また、Webフォーラムを通じたバイヤー確保にはリスクがともなうことから、現在はIRCサーバのチャンネル上やメールを利用した宣伝が行なわれているという。

このほか同レポートでは、2008年7月から9月の3カ月間に渡り調査した違法コピーソフトの流通についても報告している。調査期間中の推定被害額は約8,340万ドル。アンダーグラウンドエコノミーでもソフトの需給バランスは実際の市場とリンクしており、全違法コピーソフトの半分をデスクトップPCゲームが占める。国別のアップロード件数では、米国が全体の19%でトップ、2位は英国(7%)。

違法コピーファイルの内訳

違法コピーの国別内訳

日本の企業/個人も対策は忘れずに

"アンダーグラウンドエコノミー"市場でのやりとりや商品は、英語が基本言語となる。そのため、日本など非英語圏から違法に盗まれた情報が流通に乗るケースはさほど見られないという。とはいえ、無防備のまま安楽とするのも問題だ。実際に日本でもフィッシング詐欺による銀行口座や各種アカウントの詐欺取得は発生しており、その行き先がアンダーグラウンドエコノミーサーバになることは十分考えられる。シマンテックでは、企業や個人に対策の必要性を訴える。企業であれば、データベースの暗号化やアクセス権限の制限、リムーバブルメディアの利用制限などの徹底。個人であれば、メールフィルタリングなどを含む各種セキュリティ対策ソリューションの導入、パスワードの定期的な変更、Webブラウザのフォーム入力情報の履歴機能を無効化するといった対策を講じることが大事とした。