流出する認証情報が売買される:ダークウェブ、ロシアンマーケットの闇

2025-03-30 最終更新日時 : 2025-03-31 Heliosadmin

近年、国内企業の認証情報の漏洩や、証券会社に対する不正ログインの被害が増加傾向にあります。
その原因の一つとして、ユーザーのログイン情報が外部に漏洩し、不正に取得されている可能性が指摘されています。特に注目されているのが、ダークウェブ上で認証情報が売買されているという実態です。

本記事では、こうした情報が取引される場として知られる「ロシアンマーケット」に着目し、ダークウェブにおける認証情報の流通の実態とその脅威について解説します。

ロシアン マーケット(Russian Market)は、2019 年に出現したダーク ウェブ マーケット (DWM)であり、アカウントの認証情報、財務情報、個人識別情報 (PII) などの盗難データの販売を専門としています。高品質の盗難データに重点​​を置き、合理化されたユーザー フレンドリーなインターフェイスを備えているため、大きな注目を集めています。

ロシアマーケットのログインページ

ロシアンマーケットのログインページ

ロシアンマーケットの概要:

  • 公開された年: 2019年
  • 主要言語:英語
  • 焦点: CVV、スティーラーログ、RDP、チェッカー、ツール
  • アクセス:ダークウェブ 、クリアウェブ
  • 支払い方法:暗号通貨(ビットコイン、ライトコイン、イーサリアム)

主なサービス:

ロシアンマーケットは、2019 年 2 月の開設以来、匿名化ブラウザやクリアウェブを介した違法販売のプラットフォームとして機能しており、主に英語で運営されています。このマーケットプレイスは、個人識別情報 (PII) の販売に重点を置いた、さまざまな違法商品を専門に扱っています。主な商品は次のとおりです。

  • CVV (クレジットカード及びセキュリティコード):不正な取引のために盗まれたクレジットカードデータ。
  • RDP (リモート デスクトップ プロトコル) アクセス:侵害された企業および個人のリモート アクセス アカウント。
  • スティーラー ログ:ログイン資格情報を含む、インフォスティーラー マルウェアから収集されたデータ。
  • チェッカーとツール:盗まれた資格情報を検証するために使用されるプログラム。
  • 盗まれた金融データ:不正使用された PayPal アカウントやクレジットカードなど。

取引は通常、ビットコイン、ライトコイン、イーサリアムなどの暗号通貨を使用して取引が行われています。

ロシアンマーケットのアップデート情報

ロシアンマーケットのアップデート情報

主にログイン認証情報、クレジットカード情報、侵害されたアカウントを提供しているこのプラットフォームは、様々なアカウントの侵害された認証情報、RDPなどのアクセス情報が積極的に売買されていることが特に知られています。そのため、サイバー犯罪者はロシアンマーケットを頻繁に利用し、詐欺行為や転売のためにアカウントを入手しています。

ロシアンマーケットの運営モデル

その名前にもかかわらず、この市場は主に英語で運営され、世界中のユーザーにサービスを提供しています。また、麻薬などの物理的な製品ベースの取引が主流のダークウェブマーケットとは異なり、ロシアン マーケットは主にデータブローカーとサイバー犯罪者のハブとして機能しています。

ベンダーは大量のデータを販売し、購入者は CVV、スティーラーログ、または特定の認証情報へのアクセスを購入できます。プラットフォームは、販売者の信頼性を示すことができる評判システムを採用し、信頼できる販売者を見分ける事ができます。

CVVセクションには、大量に販売されているクレジットカードデータが多数掲載

CVVセクションには、大量に販売されているクレジットカードデータが多数掲載

スティーラーログ:

スティーラー ログは、ロシアン マーケットで違法に提供されているものの大部分を占めています。これらのログは、パソコン等のシステムに感染してユーザー名、パスワード、クレジットカード情報、さらにはブラウザの Cookie などの機密データを取得するインフォスティーラー マルウェアによって生成されます。

ロシアンマーケットのログセクション

ロシアンマーケットのログセクション

スティーラーにはさまざまな種類があり、それぞれがさまざまな形式のデータ盗難を専門としています。最も一般的な種類には、ロシアンマーケットでログソースを狙うマルウェアとして最も頻繁に観察される Lumma や、特定のアプリケーションやプラットフォームを標的とするその他の亜種が含まれます。

  • インフォスティーラーマルウェア:これらの悪意のあるツールは、感染したデバイスを標的にして個人情報を抜き出すように設計されています。マルウェアが展開されると、ログイン認証情報、支払いの詳細、銀行情報などのデータが収集され、「ログ」にまとめられます。これらのログはその後、ロシアンマーケットでサイバー犯罪者に販売され、詐欺、個人情報の盗難、またはさらなる悪用に使用されます。
  • スティーラー ログの影響:スティーラー ログの販売は、さまざまな違法行為につながる可能性があります。サイバー犯罪者は、これらのログを使用して、アカウントの乗っ取り、不正な取引の開始、個人情報の盗難、機密システムへの侵入を試みます。このようなデータに簡単にアクセスできるため、攻撃者は被害者の個人情報や財務情報を悪用することができ、深刻な経済的損失や評判の失墜につながることがよくあります。
スティーラーログの詳細データ

スティーラーログの詳細データ

マーケットリスト:ロシアンマーケットでは、スティーラー ログは通常、データを収集したマルウェアの種類や、ログに含まれる情報の種類に基づいて分類されます。たとえば、ログは「国」、「ISP」などの特定のカテゴリに分類され、購入者が探しているデータの種類を簡単に見つけることができます。これらのログは、データの品質と特異性に応じて価格が付けられることが多く、より価値の高い認証情報ほど価格が高くなります。
特定のターゲット設定:ロシアンマーケットでは、ログをまとめて販売するのではなく、低価格で個々のデバイスからのデータに重点​​が置かれています。製品は、オペレーティング システム、メール ドメイン、Web サイト ドメインなどのタグで分類されているため、ターゲット データを簡単に見つけることができます。このモデルは、リスクとコストは低いものの、潜在的な利益は大きく、大きな脅威となります。
このようなログが利用可能になると、悪意のある行為者がそのデータをさまざまな詐欺や搾取に利用するため、地下経済がさらに活性化します。

ロシアンマーケットの構造

ロシアンマーケットはわかりやすいインターフェースで設計されており、ユーザーに取引や活動を管理するためのツールとセクションの両方を提供します。利用できる主なツールとセクションは次のとおりです。

マーケット内で活動するには、最低預金額(40ドル~100ドル)が必要であり、ユーザーが取引に参加し、サービスにアクセスするために十分な資金があることが保証されます。

  • サインアップ時に 100 ドルの手数料が要求されますが、入金ページでは取引に最低 40 ドル必要であると記載されています。一方、メイン ページには 50 ドルの登録手数料が記載されています。これらの手数料は繰り返し請求されるわけではありませんが、この矛盾は、Web サイトの更新不足、監視不足、または該当のWeb ドメインを放棄する可能性を示唆しています。

ツール:

  • Bin Checker : 銀行識別番号 (BIN) をチェックして CVV データを検証するツール。
Bin Checker

Bin Checker

  • Netscape to JSON Cookie Converter: Netscape の Cookie データを JSON 形式に変換して、アクセスしやすくするツール。
Netscape to JSON Cookie Converter

Netscape to JSON Cookie Converter

タブ:

Deposit(入金): ユーザーは、アカウントを有効化し、マーケット内で取引を開始するために、最低限の入金を行う必要があります。
My Purchases(購入): マーケット内で行われた過去の購入リストを表示します。
Support(サポート): 問題が発生したり、マーケットをナビゲートする際にサポートが必要なユーザーに支援を提供します。
News(ニュース): マーケットやサイバー犯罪の傾向に関する最新情報や関連情報を提供します。
CVV : 盗まれたクレジットカードデータを購入するためのマーケットプレイス。
Logs(ログ): スティーラーログを購入するためのセクション。通常、侵害されたアカウントの資格情報やその他の機密データが含まれています。

ロシアンマーケットの現状

2025 年現在、ロシアンマーケットはアクティブなままであり、盗まれた認証情報や金融データの主要な情報源の 1 つです。定期的なDWM に対する法執行機関の取り締まりにもかかわらず、ロシアンマーケットは厳格なセキュリティ対策を採用し、審査済みのユーザーのみにアクセスを制限することで、運営を維持しています。

ロシアンマーケットは、盗まれたデータのダークウェブマーケットとして名声を固めています。高品質の認証情報と安全なインフラストラクチャに重点を置いているため、サイバー犯罪者にとって好ましい選択肢となっています。侵害されたデータの需要が高まるにつれて、このマーケットはアンダーグラウンド経済の重要なプレーヤーであり続けるでしょう。

緩和策とセキュリティ対策

ダークウェブの活動を追跡する組織や法執行機関は、ロシアンマーケットのような闇のマーケットがもたらすリスクに対処するために積極的な戦略を実行する必要があります。

  • ダーク ウェブ モニタリング
    SOCRadar のダークウェブ モニタリングには、ブラック マーケットの活動を包括的に追跡する機能が含まれています。SOCRadar のダークウェブモニタリングなどのツールは、盗まれた認証情報の検出、特定のブランドを狙った偽造品の特定、ダークウェブのフォーラムやマーケットプレイスのモニタリングによるリスクの軽減に不可欠です。このプロアクティブなアプローチにより、脅威の早期検出と対応が可能になります。
ブラックマーケット監視、SOCRadar のDark Web Radar

ブラックマーケット監視、SOCRadar のDark Web Radar

  • フィッシング ドメインの削除
    SOCRadar のテイクダウンサービスを利用すると、組織はロシアンマーケットなどのプラットフォームから発生するフィッシング ドメインや不正行為に迅速に対処できます。悪質な Web サイトを積極的に排除することで、ブランドのなりすましのリスクが軽減され、顧客を悪用から保護できます。
  • 組織のセキュリティ意識向上
    ダークウェブ マーケットプレイスに関連するリスク、情報の売買に関するリスクを組織内で意識を高めることは、被害を軽減し、これらの違法ネットワークに関わる危険性について個人を教育するために不可欠です。
カテゴリー
ダークウェブ監視デジタルリスク保護ブログ
タグ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

前の記事
日本企業を狙う認証情報盗むマルウェアの脅威と対策
2025-02-07