認証情報の価格が、市場の力によって、どのように決定されるか
トピック: クレデンシャルスタッフィング
2021年2月16日、Mike Vizard
どのような価格も常に需要と供給の力によって決定されますが、ダークWebで販売されている認証情報には、他の認証情報よりかなり高価なものもあります。
調査会社であるComparitechのレポートによると、米国人から盗み出された認証情報の販売価格は平均8ドルであり、日本人またはUAE(アラブ首長国連邦)人から盗み出された認証情報の販売価格は平均25ドルです。この調査は40のダークWebサイトからのデータを含んでいます。
レポートでは、攻撃者がなりすましに悪用する可能性があるSSN(米国社会保障番号)などの国民識別番号、および氏名、生年月日、住所、電話番号、口座番号などの個人情報が認証情報とされています。
レポートによると、盗み出されたクレジットカードの価格は0.11~986ドルとさまざまであり、ハッキングされたPayPalアカウントの価格は5~1,767ドルです。盗み出されたクレジットカードの与信限度額の中央値はカードの価格の24倍であり、ハッキングされたPayPalアカウントの残高の中央値はダークWeb上の価格の32倍です。もちろん、ボリュームディスカウントが適用されます。いわゆるダンプの一部として大量に購入された盗み出されたクレジットカードデータは、1つの番号の価格のわずか半分で入手できます。
長年にわたって、認証情報は、アプリケーションとオンラインサービスのプロバイダから盗み出されたユーザ名とパスワードの多くの組み合わせに関連する認証情報流出の一部として、個別および大量に盗み出されています。長期にわたって、攻撃者は、さまざまな詐欺に悪用する認証情報を作成するために、データの断片をさらに巧妙に収集しています。このような認証情報の価格は、このデータがどれほど入手しやすいかを反映しています。米国人の認証情報が8ドルであることは、つまり、ダークWebに存在するこのような認証情報が、かなり多い可能性が高いということです。
さらに厄介なことに、攻撃者は、特定のユーザ名に関連付けることができるパスワードに基づいて、アカウントのパスワードをさらに巧妙に推定しています。また、特定のユーザ名を認識するすべてのWebサイトに悪用できるパスワードパターンを検出するために、ML(機械学習)アルゴリズムを間もなく悪用するでしょう。MLアルゴリズムに関連する他のすべてのユースケースと同様、収集される認証情報データが増加すればするほど、このアルゴリズムは巧妙になります。
もちろん、ユーザ名とパスワードがセキュリティとプライバシーを確保するツールとして機能していないことは、ますます明らかになっています。企業はユーザ名とパスワードへの現在の依存をすぐに完全になくすことはできないかもしれませんが、ほとんどの企業は、この道を進む必要があります。
この間、セキュリティプロフェッショナルはダークWeb上のさまざまなタイプの認証情報の「相場」を注視する必要があります。結局、何を最も保護する必要があるかを決定するための最適な指標は、データが盗み出された後に、何者かがデータにアクセスするために支払おうとする価格です。
原文はこちら:
How market forces determine credential value
February 16, 2021 Mike Vizard
https://blog.barracuda.com/2021/02/16/how-market-forces-determine-credential-value/