リアル経済にも影響を与えるアンダーグラウンドマーケット

　2021年、サイバー犯罪の全世界の年間被害額は6兆ドルに達するという試算がある。数字だけなら米国の国家予算1年分の2倍程度の規模となる。予想なので金額の精度は別にしても、これだけの富が裏社会の経済に流れるわけだ。もはやアンダーグラウンドマーケットだからといって、無視できない規模であることは間違いない。

　巨大化するアンダーグラウンドマーケットだが、市場モデルの変化もある。以前は攻撃者＝専門知識を持った人間という図式が成立していた。攻撃は属人的で攻撃者のスキルに依存し、マルウェアは自前で作るのが普通だっただろう。当然市場規模もブラックマーケットなどと呼ぶにふさわしいものだったはずだ。

　しかし、インターネットやITシステムが金銭的な価値を直接生むようになり、ハッカーの攻撃は組織的な犯罪になってくる。役割分担が進み、独自のエコシステムさえ出来上がっている。マルウェアの開発だけをするもの。買ってきて利用するだけのもの。攻撃依頼を代行するもの。個人情報売買をするもの。

　Ransomware as a Serviceという言葉が示すように、サイバー攻撃のプラットフォームさえ作られ、アフィリエイトモデルのような攻撃者のヒエラルキーさえできているという。アクセンチュアのアナリストの調査によれば、ランサムウェアをアフィリエイターに配布またはレンタルし、攻撃成果の20％を手数料として徴収するエコシステムが成立しているという。

個人情報の取引金額やマルウェアの値段

　犯罪者組織はマルウェアやサイバー攻撃に関する知識やスキルがなくとも、料金さえ払えば、高度なサイバー攻撃を実行できるといわれている。まさにそのとおりだが、では、サイバー攻撃に必要なコスト、マルウェアの原価はどれくらいなのだろうか。

　この点について2つの面白い分析レポートがある。1つは各種個人情報のアンダーグラウンドマーケットでの取引値段に関するレポート。もう1つはマルウェアや攻撃の価格、攻撃サーバーのホスティングサービスの料金などを調べた記事だ。

　1つ目のレポートはEMC RSA事業部のRSA AFCC（Anti-Fraud Command Center：不正対策指令センター）が調査したもので、アカウントの分野属性別の闇市場価格リスト（2018 Cybercriminal Shopping List）というレポートだ。


　例えば、小売業の顧客情報では1件あたり70セント～となっている。ネット通販や運送業者の顧客アカウントは高値では8ドル50セント、6ドルだ。ソーシャルメディアではデートサイト・出会い系のアカウントは10ドル前後と平均して高い。金額でいえば金融サービスや銀行口座情報などは10ドル以上は普通で20ドル以上（銀行口座情報）での取引もある。それ以外で高めで取引される情報は、IT系企業の個人情報や通信事業者のアカウント情報だ。

【次ページ】 ランサムウェアキットは1,000ドル／月、クレジットカード番号（所有者詳細情報つき）は30ドル？