あなたの名前、住所、クレジットカード番号、パスポート情報——これらは今この瞬間も、インターネットの「裏側」でひっそりと売買されている。しかもその価格は、あなたが思うより遥かに安い。
はじめに:「見えないマーケット」の存在
2023年、NTTドコモの委託先企業から約596万件の顧客情報が流出した。2022年には、トヨタの販売店システムから約296万人分のデータが外部に露出していたことが判明した。そして毎年のように、国内外の大手企業から「〇〇万件の個人情報が漏えいした可能性があります」というニュースが報じられる。
では、そのデータはどこへ行くのか。
答えは、ダークウェブ上のマーケットプレイスだ。Torブラウザを使わなければアクセスできない、一般の検索エンジンには引っかからない、匿名性の高いインターネット空間——そこには「あなたの人生のデータ」が並ぶ、奇妙な闇市が広がっている。
この記事では、セキュリティ研究者やOSINT(オープンソースインテリジェンス)アナリストが公開している情報、そして複数のセキュリティ企業のレポートをもとに、その「価格表」の実態を解説していく。ダークウェブそのものへのアクセス方法は紹介しないが、「自分のデータがいくらで売られているのか」を知ることは、自衛の第一歩になる。
ダークウェブの「フリマ」はどんな仕組みか
ダークウェブ上のマーケットは、AmazonやメルカリのようなUIを持つものも多い。出品者はレビューされ、評価スコアがつき、バイヤーはキーワードで商品を検索できる。支払いはビットコインやMoneroなどの暗号資産で行われる。
こうしたマーケットの存在を分析するのがOSINTアナリストの仕事の一つだ。彼らはTorを経由してアクセスし、価格帯・出品数・出品者の評判・データの「鮮度」などを記録・分析する。セキュリティ企業のNortonやDigital Shadows(現Reliaquest)、Recorded Futureなどは定期的にダークウェブの「相場レポート」を公開しており、本記事もそれらの知見を参照している。
第1章:メールアドレスの価格——”最も安い”個人情報
単体では「ほぼ無価値」
まず驚くのが、メールアドレス単体の安さだ。
100万件のメールアドレスリスト(スパムリスト)は、ダークウェブでは$10〜$40程度、つまり1件あたり約0.004セント(0.006円)で取引されることがある。これは「ばら売り」ではなく「大量まとめ売り」の価格だが、それでも驚異的な安さだ。
なぜこんなに安いのか。それは「量」が溢れているからだ。過去10年で流出したメールアドレスは数十億件に上ると言われており、需給バランスが崩壊している。2013年のAdobe社の流出(約1億5000万件)、2016年のYahoo!の流出(30億件超)など、大型流出のたびにメアドの「相場」は下がってきた。
パスワード付きは別格
しかし、メールアドレス+パスワードのセット(コンボリストと呼ばれる)になると話は変わる。
メールアドレスとパスワードがセットになった「コンボリスト」は、1,000件で$1〜$5程度。1件換算にすると安く見えるが、これが使われる手口が「クレデンシャルスタッフィング攻撃」だ。同じメアド・パスワードを複数のサービスで使い回している人間(統計的には約65%がパスワードを使い回すとされる)のアカウントに、自動的にログイン試行をかけていく。
メアドとパスワードは「鍵」だ。その鍵が使える「扉」が多ければ多いほど、価値は倍増する。
OSINTの視点:Breached Databaseの追跡
OSINTアナリストが使うツールの一つが「Have I Been Pwned」(haveibeenpwned.com)だ。このサービスは、ダークウェブで流通している漏えいデータのインデックスを作成しており、自分のメアドが何件の流出に含まれているかを確認できる。
このサービスが収録しているデータは2024年時点で約130億件を超える。あなたのメアドが何かのサービスで一度でも登録されていれば、かなりの確率でどこかのリストに載っている可能性がある。
第2章:クレジットカード情報の価格——犯罪者の「現金化ルート」
「フルz」と「CVVのみ」で価格が変わる
クレジットカード情報のダークウェブ価格は、含まれる情報の種類によって大きく異なる。業界用語で分類すると:
CVVのみ(カード番号+有効期限+セキュリティコード)
これは主にオンライン不正購入に使われる。価格は$5〜$20程度(1件)。ただし有効期限が近いカードや残高が低そうなカードは安く、残高が高そうなプレミアムカードは高くなる。
フルz(カード番号+有効期限+CVV+氏名+住所+生年月日)※英語圏では “Fullz” と表記
「フルz」と呼ばれる、フルセットの情報は$15〜$40程度。住所や生年月日があると、電話でのなりすましやカード再発行詐欺に使えるため価値が上がる。
フルz+SSN(アメリカの社会保障番号)
アメリカに限った話になるが、社会保障番号まで含む場合は$30〜$100以上に跳ね上がる。これは新規ローン申請や口座開設にまで使えるためだ。
日本のカードの相場は?
Recorded Futureなどのレポートによると、日本発行のクレジットカードはアメリカやヨーロッパのものと比べてやや価格が低い傾向がある。これはアメリカのカードの方が不正利用の「換金ルート」が確立されていることや、ICチップ対応の普及率の差などが影響していると分析されている。ただし近年は日本カードの需要も高まっており、相場は上昇傾向にある。
カードが使われるまでの「タイムライン」
漏えいしたクレカ情報が不正利用されるまでの時間は、驚くほど短い。セキュリティ企業Gemini Advisoryの分析では、カード情報がダークウェブに出品されてから平均5日以内に不正購入が試みられるという報告もある。被害に気づいてカードを止めるより早く、引き出されてしまうケースも珍しくない。
第3章:パスポート・身分証明書情報——「アイデンティティの売買」
スキャン画像と「フルセット」の違い
パスポートのスキャン画像や身分証明書の写真は、ダークウェブでは$1〜$10程度から出品されているが、これは「使い捨ての本人確認用」だ。フィッシングサービスの登録や、KYC(本人確認)の甘いプラットフォームでのアカウント作成に使われる。
一方、より高値がつくのが「フルKYCパッケージ」だ。これはパスポートのスキャン画像に加え、顔写真、住所証明書、場合によってはセルフィー動画まで含むセットで、$50〜$150程度で取引される。これだけあれば、仮想通貨取引所や金融機関の本人確認を突破できる可能性があり、マネーロンダリングや詐欺の「口座開設」に悪用される。
「合成ID」という高度な犯罪
さらに上位には「合成ID(Synthetic Identity)」がある。実在する人物の一部情報(例:社会保障番号)に、架空の名前や住所を組み合わせて作る「半架空の人物」だ。これは信用調査では実在する番号に紐付いているため検出が難しく、ローンや与信の詐取に使われる。価格は$100〜$200以上と、個人情報カテゴリの中では上位に位置する。
日本のマイナンバーカードの情報も、近年はダークウェブ上での取引事例が報告されており、セキュリティ研究者の間で注目されている。
第4章:企業アカウントの価格——「法人」の方が高い
「なりすまし企業」は価値が高い
個人の情報より高値がつくことが多いのが、企業のアカウント情報だ。
たとえば、フォーチュン500企業の従業員のVPN接続情報や、Active Directoryの管理者アカウントは、ダークウェブのオークションで$1,000〜$5,000以上になることがある。ランサムウェアグループがこれを購入し、企業ネットワークに侵入して身代金を要求する——という被害が世界中で起きている。
「イニシャルアクセスブローカー」の存在
近年のサイバー犯罪のサプライチェーンで注目されているのが「イニシャルアクセスブローカー(IAB)」という存在だ。彼らは企業ネットワークへの侵入口(アクセス権限)を専門に窃取し、ダークウェブで販売する。ランサムウェアグループはそのアクセス権を買い取り、実際の攻撃を行う、という分業体制が確立している。
Recorded Futureのレポートによると、IABが販売する企業アクセス権の価格は:
- 中小企業のRDP(リモートデスクトップ)アクセス:$100〜$500
- 上場企業のVPNアカウント:$1,000〜$10,000
- 金融機関・医療機関のアクセス権:$10,000以上(入札制になることも)
特に医療機関は攻撃者にとって「優良ターゲット」とされており、電子カルテシステムへのアクセス権は高額で取引される。医療機関はシステムが止まると命に関わるため、身代金を支払う確率が高いからだ。
クラウドアカウントの価値
AWSやAzureなどのクラウドサービスの認証情報も注目すべき商品だ。クレジットカードと紐付いたAWSアカウントは、暗号資産マイニングのための計算資源として即座に悪用される。その場合の被害は「情報流出」ではなく「クラウド利用料の爆発的増加」という形で現れ、数日で数百万円の請求が来ることもある。
第5章:価格を決める「鮮度」と「組み合わせ」
データは腐る
ダークウェブ上のデータ価格を理解する上で重要なのが「鮮度」の概念だ。漏えいから時間が経てば経つほど、カードは止められ、パスワードは変更され、情報の「使用可能性」は落ちていく。
- 漏えいから1週間以内のデータ:定価の100%〜200%
- 1ヶ月以内:定価の50%前後
- 1年以上経過:定価の10%以下、またはバルクで投げ売り
これが「流出直後に被害が集中する」理由だ。セキュリティ侵害が起きた時に素早く対応(カードの停止・パスワード変更)することが重要なのはこのためだ。
「コンボパック」の脅威
複数カテゴリの情報が組み合わさると、価格と危険度は跳ね上がる。
たとえば「メアド+パスワード+クレカ情報+住所」がセットになった「フルプロファイル」は、$30〜$150程度で流通する。これだけあれば、不正ショッピング・ローン申請・なりすまし電話・アカウントハイジャックまで、複合的な攻撃が可能になる。
第6章:OSINTで見えてくる「日本のリスク」
日本語のフォーラムも存在する
ダークウェブは英語圏だけの話ではない。日本語で書かれた不正情報売買のフォーラムや、日本人向けの不正サービス(架空口座の売買、フィッシングキットの販売など)も存在することが、複数のセキュリティ研究者によって報告されている。
OSINTアナリストがダークウェブの日本語フォーラムを分析したところ、以下のような商品が確認されているという:
- 日本のSMS認証可能な「捨て番号」(ワンタイム電話番号):$1〜$5
- 日本の銀行口座(受け取り用):$30〜$100(マネーロンダリングの中継に使われる)日本国内の銀行口座(通帳・カードのセット)は、現在ダークウェブやSNSの裏垢等で「10万円〜20万円」で取引されることも珍しくありません。
- 日本国内のフィッシングキット(銀行・宅配業者を模したもの):$50〜$200
- 日本のAmazon・楽天アカウント:$5〜$20
漏えい確認の方法(合法的なOSINT)
自分の情報がダークウェブに流れているかを確認する合法的な方法がある:
Have I Been Pwned(haveibeenpwned.com)
メールアドレスを入力するだけで、既知の漏えいデータベースに含まれているかを無料で確認できる。パウンズ(pwned)された件数と、どのサービスから漏れたかも表示される。
Google パスワードマネージャー
Chromeに保存されているパスワードが漏えいリストに含まれているかを自動で確認してくれる。
クレジットカードのアラート機能
多くのカード会社が不正利用を検知する「リアルタイムアラート」を提供している。必ず有効にしておくべきだ。
第7章:あなたを守る5つの実践
最後に、知識を行動に変えるための具体的な対策をまとめておく。
- パスワードマネージャーを使い、すべてのサービスで異なるパスワードを設定する。コンボリスト攻撃への最大の防御策だ。1Passwordや Bitwarden などを活用しよう。
- 二要素認証(2FA)を全サービスで有効にする。パスワードが漏れても、認証コードがなければログインできない。SMS認証よりも認証アプリ(Google Authenticatorなど)の方が安全だ。
- クレジットカードは「バーチャルカード」を活用する。楽天カードやVpassなどが提供するバーチャルカード番号を使えば、本来の番号を露出させずにオンライン決済ができる。
- 自分のメアドを定期的にHave I Been Pwnedでチェックする。半年に一度、確認する習慣をつけよう。
- フィッシングメールへの警戒を怠らない。漏えいしたメアドには、より精巧なフィッシングメールが届く可能性が高い。URLをクリックする前に、送信元ドメインを必ず確認すること。
おわりに:「安すぎる価格」が意味するもの
あなたのクレジットカード情報が$15で、パスポート情報が$50で、メールアドレスが$0.004で売られている——この事実は、ある意味で残酷だ。
しかしこれは、「あなたの人生の価値がその程度だ」ということではない。データが安いのは、犯罪者側の「在庫過多」と「自動化された攻撃」によるものだ。データを盗む側のコストが下がったからこそ、売値も下がる。
逆に言えば、自衛のコストは今も昔も変わらない。パスワードを変える、二要素認証を設定する、怪しいメールをクリックしない——これらは無料でできる。
ダークウェブの「価格表」は、デジタル時代のリスクを数字で教えてくれる教科書だ。その数字を知ったあなたが、今日から少しだけ賢く自分を守れるようになれば、この記事の目的は達成される。
参考資料:Recorded Future Annual Report、Digital Shadows “From Exposure to Takeover” Report、NortonLifeLock Cyber Safety Insights Report、Have I Been Pwned Database、警察庁サイバー犯罪対策プロジェクトレポート2023
※本記事はセキュリティ意識向上を目的とした教育的情報提供であり、ダークウェブへのアクセス方法や不正行為を推奨するものではありません。
コメント