データ漏えいやサイバー犯罪の大半は、金銭を得ることを目的とするものです。しかしながら、社会保障番号、パスワード、クレジットカードのデータなどの個人情報を盗んだハッカーは、それらの情報からどのように利益を得るのでしょうか。

Dark Reading のインタビュー記事で、ウォッチガードの情報セキュリティアナリスト、Marc Laliberte が、ハッカーが盗んだ情報を販売したり利用したりして金銭を手に入れる過程を説明しています。この記事では、価値の高い電子メールアドレスやパスワードのダークウェブでの販売、知的財産の不正取得、不正税金還付、医療関係の詐欺行為などの具体的な例が紹介されています。この記事の中から、盗んだ電子メールアドレスやパスワードのデータからハッカーがどのように利益を得るかを Marc が解説している部分を抜粋し、以下にご紹介します。

WatchGuard Technologies の情報セキュリティアナリストである Marc Laliberte は、次のように説明しています。

「ハッカーは多くの場合、軍や政府機関に関連するアカウントのデータを真っ先に販売します。サービスごとに異なるパスワードを設定していない人や、パスワードを使い回す人も多く、そういったパスワードを手に入れたハッカーが、他の Web サイトでもそのパスワードを試してみることも大いにあり得ます。」

Marc のこの説明にあるように、パスワードの使い回しは、さらなる情報漏えいの機会を生む可能性があります。たとえば、Dropbox で 2012 年に発生した情報漏えいは、Dropbox の従業員の Expedia のパスワードが別のデータ漏えいで流出し、従業員がそのパスワードを仕事でも使っていたために発生しました。

詳細は、Dark Reading の記事全文(英文)でご確認ください。また、Secplicity の「ハッカーに盗まれたデータの行方」という記事でも、ハッカーが盗んだ情報を分類してパッケージ化し、販売する過程が詳しく説明されています。こちらの記事もぜひ併せてお読みください。