Kaspersky の新たな調査により、フィッシング攻撃で盗まれたデータの完全なライフサイクルが明らかになり、被害者の情報が即座に商品化される高度な「シャドーマーケットのコンベヤーベルト」が存在することが示されました。
この分析では、不正なリンクを最初にクリックした瞬間から、最終的にダークウェブ市場で認証情報が販売されるまでのデジタルな軌跡を追跡し、自動化ツールによってなりすましが産業化されている実態を浮き彫りにしています。
このレポートは、脅威アクターによるデータの抜き取り手法が大きく進化していることを明らかにしています。従来の手口では、PHP スクリプトを使って認証情報を攻撃者のメールアドレスに転送していましたが、この方法は配信遅延やプロバイダによるブロックのため、減少傾向にあります。
その代わりに、サイバー犯罪者は Telegram ボットや「Platform as a Service(PaaS)」型の管理パネルを採用するケースが増えています。
Telegram ボットはリアルタイムでのデータ流出を可能にし、被害者が「送信」をクリックした瞬間に盗まれた認証情報を攻撃者のデバイスへ直接送信します。
さらに高度なオペレーションでは、BulletProofLink のような商用フィッシングフレームワークが利用されています。これらの管理パネルは、攻撃者がリアルタイムの統計情報を確認したり、盗んだデータを国別にフィルタリングしたり、クレジットカード情報やログイン認証情報の有効性を自動的に検証したりできる集中管理型ダッシュボードを提供します。
攻撃者が盗んでいるもの
2025年1月から9月にかけて行われた攻撃の分析から、即時の金銭窃取よりも、長期的なアクセス権の確保が重視されていることが分かりました。
調査によると、フィッシング攻撃の 88.5% はオンラインアカウントの認証情報を標的としていました。これに対し、氏名や住所などの個人情報は 9.5%、銀行カード情報の直接窃取は全体のわずか 2% にとどまりました。
一度収集されたデータは、まとめて「ダンプ」として集約され、ダークマーケットのアナリストによる検証、専門フォーラムでの販売、そして最終的に標的型攻撃での悪用という、4段階のエコシステムに組み込まれます。
アナリストは、新たな流出データと過去の漏えい情報を組み合わせて、被害者の包括的な「デジタル人物像(デジタルドシエ)」を作成することがよくあります。
侵害されたアカウントの価値は、アカウントの種類、残高、二要素認証(2FA)の有無によって大きく異なります。
銀行や暗号資産関連のアカウントは最高額で取引される一方、ソーシャルメディアのログイン情報は、ソーシャルエンジニアリング攻撃に利用する目的で、数ドル程度の安値で販売されています。
盗まれたアカウントの平均市場価格(2025年)
アカウントカテゴリ価格帯平均価格
| アカウントカテゴリ | 価格帯 | 平均価格 |
|---|---|---|
| 銀行関連 | $70 – $2,000 | $350.00 |
| 暗号資産プラットフォーム | $60 – $400 | $105.00 |
| 電子政府ポータル | $15 – $2,000 | $82.50 |
| オンラインストア | $10 – $50 | $20.00 |
| 個人書類 | $0.50 – $125 | $15.00 |
| ソーシャルメディア | $0.40 – $279 | $3.00 |
| メッセージングアプリ | $0.06 – $150 | $2.50 |
長期的な脅威
さらに、盗まれた生体情報や書類スキャンは、なりすましやディープフェイクの作成を容易にする目的で利用されるケースが増えています。
調査では、危険は最初の売買で終わらないと警告しています。経営幹部や IT 管理者などの高価値ターゲットは、「ホエーリング」攻撃の標的として個別に狙われることが多くなっています。
攻撃者は、過去のパスワードや、以前の勤務先から流出したメールアドレスなどの履歴データを活用し、標的の現在の組織に侵入するための、説得力の高いフィッシングメールを作成します。
これらのリスクを軽減するため、専門家は、侵害が疑われる場合はすべてのサービスで直ちにパスワードを変更すること、多要素認証を広く導入すること、そして既知の漏えいにおける個人データの露出状況を監視する専門サービスを利用することを推奨しています。
翻訳元: https://gbhackers.com/phishing-attacks/
