アングラ住人たちが運営する「裏の名簿業者」の実態

leon

September 26, 2014 11:52
by leon

通信教育大手ベネッセコーポレーションから個人情報が大量に流出した事件が世間を騒がせています。報道によると、容疑者の男性は計15回に渡りベネッセから個人情報を持ち出し、名簿業者に250万円で売り渡したとのことです。販売自体が違法行為ではないとはいえ、ベネッセの情報を買い取った名簿業者にも社会的な非難が集まっています。

名簿業者を巡って様々な問題が起こっているのは米国でも同じです。当サイトにも「米国FTCが警鐘『データブローカー(名簿屋)』の闇」という記事が載っていますので、米国事情についてはこちらをご参照ください。下記に一部だけ引用しておきます。

端的に言えば、FTCは「ブローカーによるデータの収集法や、収集したデータの用途や販売について、またそれらを修正、削除する方法について、より簡単に消費者が知ることができるようにするための法案」の通過を訴えている。このレポートは、9社のデータブローカーについて調査したものだ。それらの企業は、他企業が消費者と直接連絡を取り合うことなく身元を確認するため、あるいはマーケティング活動を行えるようにするためのデータを収集している。現時点で、それらの活動には違法性はない。しかし、FTCは収集されたデータに幅広いカテゴリが設定されていること、そしてブローカー業者が「ほぼ全ての米国の消費者」の情報を持っていることに懸念を抱いている。

「あなたはデータブローカーを知らないかもしれないが、彼らはあなたを知っている。彼らはあなたが住む場所、あなたが購入するもの、あなたの収入、あなたの民族、あなたの子供の年齢、あなたの健康状態、そしてあなたが興味を持つものや趣味について知っている。この業種は闇の中で活動しており……そこで扱われている情報の膨大さは、私にとって非常に驚くべきものだ」と、FTCの会長Edith Ramirezは警鐘を鳴らす。

さて、名簿業者とひとくちに言っても実は「表」と「裏」の2種類の業者が存在します。今回のベネッセの件で登場したような「表」の名簿業者(合法の範囲で名簿を取引している業者)については、これから新聞やテレビで情報が沢山出てくると思いますので、今回はなかなか語られない「裏」の名簿業者について触れてみたいと思います。

まず、裏の名簿業者はアンダーグラウンド世界の住人です。彼らの扱う主なデータは、出会い系、競馬予想サイト、情報商材、アダルト動画サイトといった、人間の欲望に直結したサービスの利用者たちの氏名や年齢、住所、性別などです。特に頻繁にカネを払う利用者の情報は高値で取引されます。1件につき1円から5円というのが大まかな相場です。今回のベネッセの件では、760万件のデータ流出が確認されており、容疑者は250万円で販売したと供述しています。表と裏では一概に比較できませんが、これはかなり「安い」値付けだと思われます。ベネッセが持つような「優良」データは価値が高いと考えられるので、裏マーケットであれば数千万円の値がついたはずです。今回の容疑者はかなり足下を見られていたのでしょう。しかし、「不正に入手した個人情報を売りたい」という状況になっても、「買ってくれる」裏名簿業者との繋がりがないと、コンタクトすら取れないのが現実ですが……。

さて、「売る」のは大変ですが、「個人情報を買いたい」という場合は、ハードルは一気に下がります。出会い系サイトやアダルトサイトの運営元に連絡して、「顧客情報が欲しい」と持ちかければ、売ってくれる場合があるからです。これは彼らが常に自分たちが使い終わったネタを転売したいと考えているからです。

では、そうして手に入れたデータは本当に「使える」代物なのでしょうか? 裏業者たちが売買しているデータは、アングラ世界に流通しているものなので、信頼性は高くありません。特にあなたが素人だったら、ゴミのような情報を高値で売りつけられる可能性が高いでしょう。裏名簿業者たちは情報を買う際に「仕込み」という作業をします。例えばAという出会い系サービスから顧客情報を買う際は、そのサイトにマーカーとなる「偽の個人情報」をこっそり登録しておきます。そして、顧客情報を買った後に、自分たちが仕込んだデータがちゃんと入っているかチェックします。もしそれがあれば、購入したリストは比較的信頼できると判断するわけです。

データの信頼性が低い裏マーケットでは、名簿から上がった売り上げに応じてマージンを支払うというやり方もあります。買った個人情報の質が高ければ売り上げは大きくなるし、質が低ければ売り上げは伸びないだろうというシンプルな考え方ですね。業態にもよりますが、出会い系などではマージンは40~50%になるようです。

最後に、彼らが手に入れたメールアドレスが本物かどうかを確認する方法を簡単に説明しましょう。

実際に送信するのが一番簡単ですが、1万件、10万件と数が多くとなると、送信してチェックするという方法は現実的ではありません。そこで情報買った人間は、メールを送信直前でストップする方法でそのアドレスが生きているか、死んでいるか判断します。メールというのは送信される際に、クライアントとメールサーバーの間で決まったやりとりをします(その仕組をSMTPと言います)。その際にRCPTコマンドという、クライアントからメールサーバーにアドレスを伝えるコマンドがあるのですが、RCPTコマンドを受け取ったサーバーはアドレスに問題がないと判断すると「250 OK」と反応します。そこで、「250 OK」の応答を確認した時点で「メールアドレスが生きている」と判断し、メールの送信自体はストップするのです。この時点ではメールの送信を行っていないので、大量のアドレスをチェックしてもサーバーの管理者に「変なことをしている」とはバレにくいのです。こうやってチェックしたうえで、あまりにも死んでいるアドレスが多い場合は、購入者は裏名簿業者に対して補填を求めたりするようです。

裏名簿業者に一度情報が渡ってしまうと、振り込め詐欺やスパムメールのターゲットになってしまいます。一時的な欲望に負けて、うっかり個人情報を登録して課金すると、その後は半永久的にアングラ世界の住人たちから連絡がやってくるので、くれぐれもご注意ください。

※本稿は2014年7月18日発行の「電脳事変」に掲載した記事です。

leon

leon

ホワイトハッカー。90年代からハッキングの世界に身を置き、現在は政府や企業向けにセキュリティのコンサルティングを行っている。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…