セキュリティ企業のRSAセキュリティは2010年8月31日、フィッシング詐欺などで盗んだ情報を売買する「闇市場」サイト（オンラインフォーラム）の現状を報告した。闇市場サイトでは、ユーザーの信頼を確保するために、さまざまなルールやサービスを導入しているという。

　同社では、盗んだ個人情報や犯罪用のツールなどを売買する闇市場サイトに“潜入”し、その実態を調査している。闇市場サイトの特徴の一つは、「正会員による紹介制度」を導入していること。闇市場サイトのほとんどは会員制であり、会員にならないと売買情報などにアクセスできない。そして、会員の紹介がなければ、会員になれないようにしている。

　会員間の取引を円滑に進めるために、エスクロー（預託）サービスも導入している。情報（商品）を購入したいユーザーは代金を、情報を販売したいユーザーはその情報を闇市場に預ける。そして、取引が成立したら、サイト運営者は代金と情報をそれぞれ渡す。これにより、代金や情報がだまし取られることを防げる。

　偽情報の販売などが行われないように、情報提供者（販売者）を評価する制度もある。闇市場の中心メンバーが情報提供者をレビューし、信用に足ると判断した場合には、お墨付きを与えるという。

　闇市場で売買される情報の相場は次の通り。まずクレジットカード情報については、1件当たり1.5～3ドル（図１）。この情報には、クレジットカード番号だけではなく、有効期限や請求先住所やカードの名義人情報、カード裏面に記載されたセキュリティコードなども含まれる。このためこの情報を購入すれば、カードがなくても、不正にオンラインショッピングすることができるという。

　クレジットカードを偽造するために必要なデータ（「トラック2データ」あるいは「DUMPS」などと呼ばれる）は、通常のカードなら15～20ドル。ゴールドカードやプラチナカードになると、ロシア語の闇市場サイトでは20～80ドル、英語やドイツ語の闇市場サイトでは80～100ドルだという。

　オンラインバンクのログイン情報は、ロシア語の闇市場サイトでは50～1000ドル、英語やドイツ語の闇市場サイトでは50～300ドル。価格は、口座の種類や残高によって変わるという。

（日経パソコン　勝村幸博）

［PC Online　2010年８月31日掲載］