シマンテックは2008年12月3日、サイバー犯罪を調査した「アンダーグラウンドエコノミーレポート」を発表した。クレジットカードや銀行口座などの情報、詐欺関連のサービスの売買など、サイバー犯罪の実態をまとめたもの。調査期間中、アンダーグラウンドエコノミーで不法に売買する広告が出されていたクレジットカード情報や犯罪用ツールなどの価格を合計すると2億7600万ドルを超えた。このうち59%がクレジットカード情報だった。調査は07年7月1日から08年6月30日まで実施した。
アンダーグラウンドエコノミーで最も多く販売広告が掲出されていたのはクレジットカード情報。広告全体の31%を占める。クレジットカード番号の売値は0.1ドルから25ドル(1カード当たり価格)だった。大量購入すると値引きや増量を受けられるボリュームディスカウントもあるという。シマンテックが観察した盗難クレジットカードの利用限度額は平均4000ドル。調査期間中に広告されたクレジットカード情報を利用した場合、その潜在的価値は53億ドルにも上るという。
次に広告数が多いのは銀行口座で、全体の20%に当たる。口座番号の売値は1口座当たり10ドルから1000ドル。口座の平均残高は4万ドル近い金額だった。平均残高と盗難により売りに出ている銀行口座番号の平均価格から調査期間中に広告された銀行口座番号情報の潜在的価値を計算すると17億ドルにも上るという。
クレジットカード番号が人気の理由は「入手や利用の方法が多彩で、詐欺などに利用しやすいこと」、銀行口座番号が人気の理由は「大金入手の可能性があり、換金までのスピードが速いこと」と同社は分析する。例えばクレジットカードをネットショッピングで利用する場合、取引終了後商品を納入するまでは詐欺行為を見つけ対処するのが難しく発覚を遅らせることができる。
アンダーグラウンドエコノミーで情報などを売買するサイバー犯罪者は、小遣い程度の金額目的の個人から組織化した高度な集団まで様々。かつてはWebフォーラムに広告を投稿し、商品やサービスの詳細、価格などの情報を共有していた。しかしWebフォーラム上で大規模なおとり捜査を行ったことなどから、犯罪者らは目立たず匿名性の高いIRCのような媒体に移行し始めたとみる。シマンテックが観察した最大級のIRCサーバーネットワークには、約2万8000のチャネル、約9万人のユーザーが存在した。この中にもサイバー犯罪者が含まれていた可能性がある。
情報の売買のほかにも、機密情報を盗むための「悪意のあるツール」売買もされている。攻撃キットやスパム、フィッシングキット、悪意のあるコード、エクスプロイトコードなどを入手できる。これらのツールは広告の上、FTPサーバーでからダウンロードしたり、PtoP(ピア・ツー・ピア)でファイルを授受したりしてやりとりする。
アンダーグラウンドエコノミーサーバーが最も多い地域は北米で、全体の45%を占めた。地域分布はIRCネットワークの分布と一致しており、国別に見ると米国が最も高く全体の41%をホストしている。
今回の調査では、日本のクレジットカード情報や銀行口座情報を悪用した被害は確認できなかった。しかし「日本の銀行のWebサイトに似せたフィッシングサイトが見つかるなど、日本人がターゲットの一部であることは確か。盗難にあったデータの一部にはおそらく日本人のものが混ざっているだろうし、被害が発生してもおかしくない」とシマンテックの濱田譲治シニア セキュリティレスポンス マネージャは説明する。
今後、機密データの情報漏洩を防ぐために企業にできる対応策として同社は「データベースの暗号化を行うこと」「権限を最小にとどめるなど、社員のデータベースへのアクセスを制限すること」「機密情報の伝達には安全な通信網を使用すること」「機密情報をCDやUSBデバイスなどの持ち運べるメディアにコピーしないこと」などを挙げた。
