セキュリティ企業の米マカフィーは2010年6月24日、盗んだクレジットカード情報などを売買するWebサイト(闇市場)の会員情報が流出していることを明らかにした。同サイトの評判を下げるために、競合相手が盗んで流出させている可能性があるという。
インターネットには、フィッシング詐欺などで盗んだクレジットカード情報やパスワードなどを売買するためのWebサイトが複数存在する。そういったサイトは闇市場(ブラックマーケット)やカーディングサイトなどと呼ばれる。
闇市場サイトは会員制で、通常、会員以外のユーザーはアクセスできない。ところが今回、ドイツの大手闇市場サイト「Carder.cc」の情報が、ファイル共有ソフトのネットワークに流出し、誰でも閲覧できる状態になっていることが確認された。
流出しているのは、同サイトのコンテンツ(Webページ)や、会員およびサイト管理者の個人情報(図1)。会員のパスワードリストなども流出しているという。
これらの情報は、同サイトと競合する別サイトの関係者によって盗まれ、流出された可能性があるという。同サイトのセキュリティが十分でないことを会員に示して、別サイトに乗り換えさせる考えだ。
マカフィーが解析したところ、流出情報には4000件を超える会員情報と、4件の管理者情報が含まれていたという。それぞれには、メールアドレスやインスタントメッセージのアカウント、年齢、国籍といった個人情報が含まれている場合がある。同社では、「これらの情報に対して、法執行機関が興味を示すことは間違いないだろう」としている。
また、流出した情報を調べたところ、同サイトには、通常の闇市場では扱っていない“商品”もあったという。同サイトでは、クレジットカード情報やボットネットの貸し出しといった一般的な商品に加えて、仮想空間「セカンドライフ」のアカウントや仮想通貨「リンデンドル」、「iTunes Store」で利用できる「iTunesギフトカード」、偽造パスポートといった偽造書類なども扱っている(図2)。
価格例は、6万5000リンデンドル付きのセカンドライフアカウントが60ドル(1ドル=およそ270リンデンドル)、50ドル分のiTunesギフトカードが20ドル、偽造書類はおよそ1000ドル。
