特定のAIサービスやゲームサイトから窃取されたログイン情報とパスワードについて、2021年から2023年のダークウェブ市場を調査しました。情報窃取型マルウェアによって窃取されたアカウントはダークウェブ上に流出し、サイバー犯罪者の中で価値ある資産としてさらに収益化されています。
[本リリースは、2024年2月28日にKasperskyが発表したプレスリリースに基づき作成したものです]
KasperskyのDigital Footprint Intelligence部門はこのたび、特定のAIサービスやゲームサイトから窃取された認証情報(ログイン情報とパスワード)について、2021年から2023年のダークウェブ市場を調査・分析しました※1。その結果、膨大な量のログイン認証情報についての投稿を発見しました※2。
・2023年に窃取されたOpenAIユーザーの認証情報の件数は前年の33倍となり、ChatGPTを含むサービスのログインとパスワード情報約66万4,000件がダークウェブ上に投稿されていました。
・2021年から2023年の間、ChatGPT、Canva、Grammarlyのアカウントを売買するダークウェブ上の投稿数は約268万6,000件でした。
・2021年から2023年の間、ゲーミングプラットフォームのRoblox(ロブロックス)ユーザー約3,400万件の認証情報がマルウェアの侵害を受け、ダークウェブ上に流出しました。
・認証情報は、フィッシングなどの手法によって個人や企業のデバイスに感染し、ユーザーのログイン情報とパスワードを盗むことに特化した情報窃取型マルウェア(インフォスティーラー)を使用して盗み取られていました。
ダークウェブ市場の大きな割合を占めているのが、流出した認証情報の販売です。サイバー犯罪者は、さまざまなオンラインプラットフォームやサービスのアカウントを売り買いしています。こうしたアカウントは、インフォスティーラーによって窃取された後、そのログファイルを介してダークウェブ上に流出し、サイバー犯罪者の中で価値ある資産としてさらに収益化されています。
■ 依然として続く、注目されているAIサービス認証情報の窃取
画像編集、翻訳、テキストチューニング、チャットボットから音声生成まで、さまざまなAIサービスが、その人気の高まりとともに侵害を受けるようになりました。例えば、AIを搭載したオンラインのグラフィックデザインツール「Canva」は、過去3年間でユーザー約116万人分の認証情報がインフォスティーラーによって窃取されました。AIライティング支援サービスの「Grammarly」では、2021年から2023年の間に約83万9,000件のユーザー認証情報が窃取されています。(グラフ2)Digital Footprint Intelligenceサービスのデータでは、こうした認証情報はダークウェブフォーラムやTelegramのシャドーチャンネルで見つかっています。
特に、人気の高いAI企業であるOpenAIではインフォスティーラーによるユーザー認証情報の漏えいが発生し、2021年から2023年にかけて「ChatGPT」を含む同社サービスの約68万8,000件の認証情報がダークウェブフォーラムやTelegramのシャドーチャンネルで見つかりました。とりわけ、チャットボットの普及により、2023年はログインとパスワード情報の漏えいが前年比で33倍近くまで増加し、約66万4,000件に達しています。
グラフ1:ダークウェブ上に流出したOpenAI関連サービスのアカウント認証情報数の推移
(2021年~2023年、データはKaspersky Digital Footprint Intelligenceより)
「問題の認証情報の漏えいは、ユーザー認証情報の窃取に特化したインフォスティーラーによるもので、窃取後はサイバー攻撃、ダークウェブ上での販売などといった悪意のある活動で使用されます。個人も企業のデバイスも、フィッシングメールや偽サイト、悪意のあるコンテンツが含まれる公開サイトなどのさまざまな手段を通じてインフォスティーラーに感染する恐れがあります」と、Kaspersky Digital Footprint Intelligence部門の責任者、ユリヤ・ノヴィコワ(Yuliya Novikova) は述べています。
ダークウェブ市場における認証情報については、侵害を受けたアカウントの数量以外にも、インフォスティーラーのログファイルをサイバー犯罪者が売買しようとする投稿数によって、需要という観点からも分析できます。「ChatGPT」のアカウントに対する需要は、同サービスのバージョン4がリリースされた後の2023年4月に急増し、それ以降はほかのAIサービスと同水準になっています。
グラフ2:Canva、ChatGPT、Grammarlyのアカウントを売買するダークウェブ上の投稿数の推移
(2022年~2023年、データはKaspersky Digital Footprint Intelligenceより)
■ Robloxは認証情報の漏えいが記録を更新
2021年から2023年の間、ゲーミングプラットフォーム「Roblox」では、約3,400万件もの侵害された認証情報がダークウェブ上に投稿され、インフォスティーラーを使用するサイバー犯罪者にとって非常に収益性の高い標的となりました。「Roblox」は子どもに人気があり、懸念すべきことに侵害されたアカウント数は年々増加し、2021年の約470万件から2023年には1,550万件となり、過去3年間で約3.3倍となりました。「Steam」「Twitch」「Electronic
Arts」「PlayStation」ほか、人気のある11種類のゲーミングプラットフォームやゲームで侵害されたアカウント数の平均は、2021年から112%の増加となりました。
グラフ3:侵害されたRobloxアカウント数の推移
(2021年~2023年、データはKaspersky Digital Footprint Intelligenceより)
前出のユリヤ・ノヴィコワは次のように述べています。「Robloxに関連するログイン認証情報の窃取がここまで多い理由として、子どもたちがさまざまなソーシャルエンジニアリングの影響を受けやすく最も脆弱(ぜいじゃく)な存在であることが挙げられます。例えば、インフォスティーラーをチートコードが含まれるファイルに隠すといった手口があります。悪意のあるダウンロードリンクは、YouTubeのような人気のあるSNSプラットフォームに投稿されることもあり、あたかも本物のファイルのように見えるかもしれません。その結果として、子どもを対象としたゲームから大量の侵害アカウントが生じています」
「Roblox」アカウントのログイン認証情報が窃取されるケースは多数ありますが、サイバー犯罪者たちがダークウェブで最も求めているものとは限りません。「Steam」アカウントを売買するダークウェブ上の投稿数は2021年~2023年に約1万件でピークに達しましたが、窃取された「Roblox」アカウントに関連する宣伝の投稿は150件未満でした。
「犯罪者たちは、ゲームアカウントを標的にして、現金やゲーム内通貨、高価なスキンといったさまざまな価値のあるゲーム内アイテムを窃取します。Steamアカウントは、現金を窃取できる可能性が高いことからより好ましい標的のようです。Robloxアカウントも、ゲーム内通貨Robux(ロバックス)やゲーム内アイテムの窃取、アイテムを別のアカウントに移すことができるプレミアムアカウントへのアクセスを得るために侵害されることがあり、ユーザーは注意を払う必要があります。プラットフォームの所有者は、専門サービスの利用により侵害されたアカウントを追跡し、迅速に脅威をブロックすることで保護の強化が図れます」と、ノヴィコワは付け加えています。
■ このような認証情報の漏えいからの脅威を避けるためのセキュリティ対策として、企業ではアカウントの侵害を特定するためにダークウェブ上のプロアクティブな監視が有効です。当社ではモニタリングの設定方法について詳細なガイド“What to do if your company was mentioned on the Dark Web?”(英語)をまとめています。個人の方は、使用する全てのデバイスをカスペルスキー セキュリティなどの信頼できるセキュリティソリューションで保護することをお勧めします。
※1 当社の脅威モニタリングサービス「Digital Footprint Intelligenceサービス」の統計データを使用しています。サービス詳細は こちらでご覧いただけます。
※2 同じ認証情報が複数回漏洩し、ダークウェブ上に再投稿されている可能性があるため、統計データでは重複してカウントしている可能性があります。