この記事はアピリッツの技術ブログ「DoRuby」から移行した記事です。情報が古い可能性がありますのでご注意ください。
皆さんは、自分の個人情報について、どれくらい気を使っているだろうか。その昔、メールと名前、性別がセットで1件当たり○○円で売買しているなんて記事が、ネットに流れたこともあった。現在は、そういったセット販売の価格が暴落し、単純に1件でいくらという価格出はなくなりつつあると聞く。
■ 売買される個人情報の価値
まず、売買される個人情報について考えてみよう。売買される個人情報には、いくつかのランクがあり、まず、単なるメールアドレスだけの場合。これはほとんど無価値と呼ばれており、数十万レコード有ったとしても、その価値は高くても数千円止まり。下手をすると、数百円ってこともある。これは、そのメールアドレスが本当に現在も使われているか(流通しているか)が確定していないためだ。もし、これが、すべて使われている場合は、10倍程度の価値がつく。ただし、本当にすべてのメールアドレスが使われていれば・・・の話だ。また、それがフリーのメールアドレスなのか、それとも、企業が使っているメールアドレスかによっても、価値が変わる。もし、企業が使っているメールアドレスの場合、おいそれと変更するわけにいかず、使い続ける可能性が高い。逆に、フリーメールの場合は、簡単に変えられるため、使い続ける可能性が低く、大量に迷惑メールを受信した場合は、そのメールアドレスを捨てる可能性が十分に有る。そのため、企業とフリーのメールアドレスでは、その価値が大きく異なる。ただし、メールアドレスだけでは、先ほども書いた通り、あまり価値はなく、それ以外にヒモ付けされたものがあれば、その価値はぐっと上がる。
先ほど、企業のメールアドレスの場合は、価値がフリーアドレスに比べ、高いと書いたが、これは変更されない事と、もうひとつ理由がある。それは、その企業に属していることがほぼ確定しているためだ。.co.jp の場合、その企業に属しているもしくは、何らかの関係者であるため、個人を特定しやすい。たとえば、katayama@appirits.com といった場合、「アピリッツに勤めている片山」さんとわかるわけだ。このように、個人を特定する事ができる情報はきわめて価値が高い。これに、クレジットカード情報と性別、電話番号が含まれていれば、1件あたり10円前後の価値があるかもしれない。1件10円と聞くと、あまり価値がないように感じられるかもしれないが、数万件集めれば、ちょっとした小遣い稼ぎになる。
先ほども述べたように、個人を特定する情報は価値が高いが、逆に個人を特定できない情報はあまり価値がないと書いた。最近では、買い取り時には金銭が発生しないケースが有る。このケースでは、どんな状態(情報)で有っても、個人情報を渡す際には一切の金銭授受が発生しない。では、どのように行うかというと、アフィリエイト型と呼ばれる方法だ。この方法では、先ほどのように、1件いくらといった相場は存在しない。たとえば、Aさんの情報を含んだものを、アピリッツ商事に私が渡したとする。この時点では、金銭授受が発生しない。Aさんがアピリッツ商事で100万円の買い物をするとする、買い物額の25%である、25万円が私の懐に入る。Aさんが、アピリッツ商事で買い物をし続ける限り、延々と私の手元には、購入金額に応じ数%〜20%前後が振り込まれる。個人情報を渡した時点で金銭授受が発生しない分、売り逃げはできないが、システム上いくらの売り上げが有ったのかを確認することができ、そして、いくらの振り込みが有るのかを確認することができるため、個人情報の売り手にとって非常においしい仕組みになっている。仮に、渡した個人情報が10万件有ったとして、そのうち1%、つまり、1千人が、毎月1万円の買い物をした場合、何もしなくても、毎月25万円の小遣いだ。
とはいえ、10万件ものメールアドレスや個人情報を集めるのは、相当骨の折れる作業だ。しかも、目の前に有るような個人情報をわしづかみにして、売り払うと、某証券会社のような状態になりかねない。しかも、売却額よりも損害賠償額の方が、はるかに大きい状況では、割に合わない。そこで、個人情報を集めてる人に聞いた、さまざまな方法を書いて見よう。
■ マルウェアを用いる方法
世の中には、マルウェアを自分好みにアレンジしてくれるサイトがいくつかある。マルウェアに感染させ、中に含まれるさまざまな情報を、根こそぎ奪ったり、キーロガーを仕掛けて、さまざまな情報を抜く方法も有る。特に、銀行や証券会社のIDとパスワード、名前セットは非常に高く売買されている。
■ メールサーバ の仕様上の問題を突く
メールサーバには、受け入れられるメールアドレスをメール本文を送信する前に送信者に返答する仕様が有る。辞書を使って、大量に存在していると思われるユーザを片っ端に調べることで、その企業やISPに所属しているメールアドレスを大量にかつ確実に入手することができる。
■ SQLインジェクションを用いる
最近、中国や韓国から、日本のネットショップが狙われている方法だ。それも、かなり自動化されており、ほぼ100%人が介在していない。最も今用いられている方法の一つだ。
■ 同業他社の情報をいただく
こういった情報を収集している企業は数多く存在している。そういった企業のサイトには、セキュリティ対策が施されておらず、簡単にgoogle や yahoo などの検索エンジンに引っかかるケースがある。こういった情報をもとに、効率良く情報を取得する方法も有る。
大量の個人情報を集めたら、それを、適切なフォーマットに並び替え、CD-RやUSBメモリなどに入れて、顧客に渡す。メールを用いても良いのだが、足が付いてしまう危険性があるため、フリーのwebメールで、多段串を経由するか、複数の国外踏み台を経由してのアクセスなど、よほど入念に対策を施した状態でなければ、メールで送信することは無い。
今回は、筆者が複数の関係者から聞いた話をまとめて書いた。個人情報がどのように売買されているのか、少しは興味を持ってくれただろうか。くれぐれも、加害者、被害者ともに、ブラックマーケットに関わることの無いように。といっても、被害者になってることすら、気づかないんだけどな。
