日本人の個人情報2億件以上が含まれたファイルを 中国の脅威アクターが販売目的で広告掲載

概要

  • FireEye iSIGHTインテリジェンスは2017年12月初旬、ある脅威アクターが、個人情報を収録したデータセットを販売する目的で広告を掲載しているのを発見しました。このデータセットは国内複数のWebサイトのデータベースから抽出された、本物のデータであるとファイア・アイは分析しています。
  • 情報の流出源が非常に多く、個人情報の種類も多岐にわたることから、このデータは、特定の組織への標的活動ではなく、日和見的な不正アクセスによって取得されたと考えられます。
  • この脅威アクターは、少なくとも2013年9月より、中国のアンダーグラウンド・フォーラム上でWebサイトのデータベースを積極的に販売しており、中国浙江省在住の個人との関連が疑われています。                                

はじめに
2017年12月、中国のアンダーグラウンド市場において、ある脅威アクターが、個人情報を収録したデータセットを販売する目的で広告を掲載しているのが発見されました。データセットには、氏名、認証情報(ID・パスワード)、メールアドレス、生年月日、電話番号と住所が含まれていました。脅威アクターはデータセットに一意の認証情報セットが2億件収録されており、国内で人気の複数のWebサイトのデータベースから抽出したと謳っています。また、このデータは、1,000人民元(150.96米ドル)の価格で販売されていました。データそのものは、小売、食品、飲料、金融、エンターテインメント、交通など、さまざまな業界のWebサイトから盗まれたと考えられます。各フォルダのラベルには、データが2016年の5月から6月に取得されたものと示すものもあれば、2013年の5月と7月に取得されたことを示す日付も観察されています。

このデータセットの広告に対し、複数の人間が購入に関心を示すコメントを残していました。しかし、広告された商品が届かないなど、ネガティブなコメントも確認されています。

データは本物の可能性が高く、日和見的な不正アクセスによって取得
販売されていたデータセットを分析したところ、データセットには2億行以上の情報が収録されており、おそらく11~50件の国内Webサイトから盗まれたと考えられます。公に公開されているデータソースには存在しない、多様なデータを含んでいることがから、データ自体は本物であると考えられます。

  • 流出したメールアドレスのうち20万件を無作為抽出したところ、大半は大規模な情報漏えい事件で過去に流出したものでした。このことから、これらのデータセットは、今回の販売目的のためだけに作成されたものではないと考えられます。また、データの大半は、ある特定の漏えい事件や公開Webサイトによるものではないため、攻撃者が情報漏えい事件で得た情報を購入して転売した可能性も低いと考えられます。
  • 流出した認証情報のうち19万件以上のサンプルを抽出したところ、36%以上に重複値が含まれていました。また、偽のメールアドレスも多数観察されました。データが偽造とは言い切れないものの、一意の認証情報や本物の個人情報は、広告されていた数よりも大幅に少ないことが示唆されます。

データは日本語Webサイトに対する日和見型の標的活動によって取得された可能性が高い
ファイア・アイでは、一部のファイルのラベルを活用することで、不正アクセスを受けたWebサイトとのつながりを分析しました。個人情報の流出源は非常に多く、種類も多岐にわたることから、特定の組織のWebサイトが標的とされたのではなく、日和見的に情報が盗まれたと考えられます。

  • 大半のファイルのラベルには、翻訳すると「新しいファイルフォルダ」のようなあいまいな中国語(北京語)の名前が付けられていたものの、ファイル名から情報源を判別できた例もありました。ファイル名には、日本の食品ブランド、オンライン・ハンドバッグ店、アダルトサイト、輸送会社、ゲーム関連のWebサイト、美容企業などが含まれていました。
  • 抽出された情報の内容から、データは顧客のログインやプロフィール情報を擁するWebサイトから盗まれたと考えられます。機密性の高い電子メールやビジネス情報など、WebサイトやWebポータルに接続するサーバーに通常保存されているようなデータ以外は一切観察されませんでした。
  • 漏えいの内容を分析した後でも、上記の情報源からデータが抽出されたということに確信をもって検証することは不可能です。いくつかのソースが存在するように見せるため、あるいは商品の需要を高めるため、ファイルにWebサイトの名前が後から追加された可能性もあります。しかし、こうしたWebサイトの大半は知名度が低いこと、また、悪評につながることも考えられることから、販売されているデータの情報源を偽装する動機はほとんどありません。

人物像は、QQで悪評のある中国人個人の可能性が高い
この脅威アクターは少なくとも2013年9月より、中国のアンダーグランド・フォーラムでWebサイトのデータベースを積極的に販売してきました。これまで中国、台湾、香港、欧州諸国、オーストラリア、ニュージーランド、北米諸国のWebサイトから抽出したデータを販売しています。ファイア・アイでは、共通のQQアドレスより、2人の別の人物もこの脅威アクターに関連している可能性があることを発見しました。

アンダーグラウンド・フォーラムでの評価は大部分がネガティブなものであり、情報が捏造されている、あるいは、過去に販売したデータが収録されている可能性も依然存在します。とりわけネガティブな評価では、データを送ってこない、あるいは、購入者が期待した商品ではないとの主張が見られます。

見通しと影響
こうした情報の大半は、大規模な情報漏えい事件で過去に漏えいしたもの、あるいは、過去に販売されたものの可能性があるため、今回の発見されたデータセットに記載のあった組織や個人を標的とし、新たな悪意ある活動が大規模に行われることはないと予想しています。しかし、不正アクセスを受けたWebサイトと、他の個人や企業関連アカウントの間で、認証情報の再利用があった場合、漏えいした情報が他の組織の標的活動に悪用される可能性があります。漏えいした電子メールや認証情報は、なりすまし犯罪、迷惑メール・マルウェアの伝播、詐欺に使われる可能性もあります。