サイバー攻撃が巧妙化・日常化する現代において、企業の認証情報は常に攻撃者の標的となっています。特に、匿名性の高い「ダークウェブ」では、世界中のサービスから盗まれた情報が活発に取引されています。本稿では、この脅威の実態を明らかにするため、当社が実施した調査について報告します。
今回のダークウェブ調査の目的
本調査の目的は、日本国内の企業に関連する情報がダークウェブ上に漏洩し、誰でもアクセス可能な状態になっていないかを確認することです。
本調査は、当社のダークウェブ監視ツールを用いたプロアクティブな脅威インテリジェンス活動の一環として実施されました。
初期発見(当社ダークウェブ監視ツールによる)
当社のダークウェブ監視ツールによる脅威スキャン中に、ダークウェブ上で不審な記載が確認されました。
これをきっかけに、複数のサイバー犯罪者向けフォーラムやマーケットプレイスに対する深掘り調査を実施しました。
ダークウェブフォーラム「cra_____.sh」での発見
調査の結果、cra_____.shというダークウェブフォーラム上で、以下のような大規模なデータダンプが販売されているスレッドを確認しました:
“⚡️ 0-1-BILLION-VIP-ULP-PRIVATE- ⚡️-ALI$$$$-TXTBA$$$E ”
▶(注釈)これは、ダークウェブのフォーラムで使われる典型的なタイトルです。「最大10億件のVIPのログインIDとパスワードのセットリスト【独占販売】【希少】【テキスト形式】」といった意味合いです。
投稿内容には「Japan」などの地域名も含まれており、日本の企業や個人が対象に含まれている可能性があることが示唆されました。
cra_____.sh
/Thread-⚡☁BILLION-VIP-ULP-PRIVATE-⚡️-ALIEN-TXTBASE-☁️
漏洩しているデータ分析とフィルタリングの手順
潜在的な被害範囲を特定するため、スレッドに添付されていた.txtファイルをダウンロードし、基本的なテキスト処理により内容を分析しました。
ステップ1:.co.jpドメインの抽出
まず、日本企業でよく使われる「.co.jp」ドメインを含むエントリを抽出しました。
▶注釈:画像はお見せできませんが、たくさんのエントリが抽出されている様子をご確認いただけると思います。
ステップ2:/adminパスの検出
次に、管理者用ポータルへのアクセスが疑われる/adminパスを含むエントリを抽出しました。
▶注釈:画像はお見せできませんが、管理画面のアクセス権限である可能性が高いエントリが抽出されました。
コンボリスト(漏洩した認証情報)との照合
抽出されたデータの深刻度を検証するため、「コンボリスト(漏洩したメールアドレスとパスワードの組み合わせ)」と照合を実施しました。
その結果、数千件におよぶ「.co.jp」ドメインのメールアドレスとパスワードの組み合わせが漏洩していることが確認されました。これらは過去の情報流出に由来する可能性が高いと見られます。
ダークウェブとは? なぜ危険なのか?
ダークウェブとは、通常の検索エンジンではインデックスされないインターネットの領域です。
Torブラウザなどの専用ツールを使わなければアクセスできず、違法な取引や情報交換が頻繁に行われています。
ダークウェブで取引されるもの
盗まれた認証情報、マルウェア、リモートアクセス
ハッキングツール、エクスプロイトコード、流出データベース
ランサムウェア・アズ・ア・サービス(RaaS)
フィッシングキットや2FA回避ツールのマニュアル
誰でも攻撃可能:“情報漏洩が起こりえる”時代に
こうしたツールや漏洩データが出回っている今、もはや専門家でなくても攻撃が可能です。
このような未熟な攻撃者は「スクリプトキディ」と呼ばれ、他人が作成したツールを使って攻撃を行います。
スクリプトキディでも以下のような行為が可能です:
安価に漏洩した認証情報を購入
自動ツールを使ってログイン試行(クレデンシャルスタッフィング)
フィッシングサイトのテンプレートを使用
2FAを回避するためのガイドや偽造IDツールを活用
日本の企業情報が特に狙われる理由
本調査および業界動向から、日本企業が特に狙われやすい理由は以下の通りです:
レガシーシステムの使用が広範に残っている(製造業・物流業など)
脅威インテリジェンスや監視体制への投資が国際水準に比べて少ない
外部ベンダー依存度が高いため、攻撃対象が広がる
英語圏中心の脅威情報への対応力不足(言語・文化の壁)
認証情報の漏洩状況を把握できない体制・可視性の低さ
今回の調査では、管理画面URLを含む機密性の高い認証情報が既に出回っている事実が確認されました。
総括
本調査により、データ漏洩はもはや仮定ではなく、現在進行形の脅威であることが明らかになりました。
さらに、その悪用手段は安価かつ容易に入手可能な状況です。
スクリプトキディですら1,000円の認証情報リストでログインできるとしたら、
プロの攻撃者やランサムグループはどれほどの被害を与えるでしょうか?
企業が今すぐ取るべき対策は?
本調査で明らかになった深刻な脅威に対し、企業はどのように立ち向かうべきでしょうか。情報システム担当者や経営者が今すぐ実践すべき具体的な対策を解説します。
1. 多要素認証(MFA)の導入と徹底
漏洩したIDとパスワードだけではログインさせないための、最も効果的な対策です。社内システム、クラウドサービスなど、外部からアクセス可能な全ての重要システムにMFAを導入し、全従業員の利用を徹底してください。
2. パスワードポリシーの強化と管理
「パスワードの使い回し」は、一つの漏洩が他のシステムへの侵入を許す最大の原因です。パスワードの長さと複雑性の義務化、定期的な変更、使い回しの禁止を徹底しましょう。セキュリティ強度の高いパスワードマネージャーの導入も有効です。
3. 従業員への継続的なセキュリティ教育
フィッシング詐欺の見分け方やパスワード管理の重要性など、従業員一人ひとりのセキュリティ意識を高めるための教育を定期的に実施することが不可欠です。
4. 最小権限の原則の適用
従業員には、業務遂行に必要最小限のアクセス権限のみを付与します。万が一アカウントが乗っ取られた際の被害を最小限に抑えることができます。
5. プロアクティブな脅威インテリジェンスの活用
ダークウェブモニタリングサービスなどを活用し、自社の情報がダークウェブ上で取引されていないかを常時監視します。情報漏洩を早期に検知することで、被害が拡大する前に対策を講じることが可能になります。
自社の情報漏洩リスク、把握できていますか?
本記事でご覧いただいたように、多くの企業が自社の情報がいつ、どこで、どれだけ漏洩しているのかを把握できていないという事実に直面しています。
「うちは大丈夫」と思っていても、気づかないうちに攻撃の準備は進んでいるかもしれません。
CyberCrewの「ダークウェブ監視サービス」は、専門のアナリストと独自の監視ツールを用いて、広大なダークウェブ空間から貴社に関連する脅威情報をいち早く検知し、具体的な対策を助言します。
見えない脅威に怯える日々は終わりです。まずは自社の置かれている状況を正確に把握することから始めませんか?
▼サービスの詳細・お問い合わせはこちらから
ダークウェブモニタリングサービス
見つけるのではなく、見逃さない。
私たちCyberCrewは、攻撃者視点を持つホワイトハッカーが 独自の専門知識とノウハウを駆使して、ツールでは拾えない“本当に危ない情報”までカバーします。
用語解説
本記事に登場した専門用語を解説します。
| 用語 | 解説 |
|---|---|
| ダークウェブ | Torなどの特殊なブラウザを使用しないとアクセスできない、匿名性の高いインターネット領域。違法な商品や盗まれた情報の売買に利用されることが多い。 |
| 脅威インテリジェンス | サイバー攻撃に関する情報を収集・分析し、組織が直面する脅威を予測・評価・対策するための知識や知見のこと。 |
| コンボリスト | 過去に様々なサービスから漏洩したメールアドレスとパスワードの組み合わせを大量に集めたリスト。クレデンシャルスタッフィング攻撃に悪用される。 |
| スクリプトキディ | 高度な技術力を持たず、他人が作成した攻撃ツールを利用してサイバー攻撃を試みる未熟な攻撃者のこと。 |
| クレデンシャルスタッフィング | コンボリストなどを用いて、あるサービスで漏洩したIDとパスワードの組み合わせを、別のサービスへのログインで機械的に試す攻撃手法。 |
| ランサムウェア・アズ・ア・サービス(RaaS) | ランサムウェア開発者が、攻撃を実行したい人にそのツールやインフラを有料で提供するビジネスモデル。 |
投稿者プロフィール
-
Offensive Security Engineer
15年以上の実績を持つ国際的なホワイトハッカーで、日本を拠点に活動しています。「レッドチーム」分野に精通し、脆弱性診断や模擬攻撃の設計を多数手がけてきました。現在はCyberCrewの主要メンバーとして、サイバー攻撃の対応やセキュリティ教育を通じ、企業の安全なIT環境構築を支援しています。
主な保有資格:
● Certified Red Team Specialist(CyberWarFare Labs / EC-Council)
● CEH Master(EC-Council)
● OffSec Penetration Tester(Offensive Security)
最新の投稿
ダークウェブ2025.09.02闇に晒された企業情報:ダークウェブに漏洩した認証情報の実態
LLM/生成AI2025.08.25AIペネトレーションテスト企業トップ10選【2025年版】
LLM/生成AI2025.08.25LLM01:2025 プロンプトインジェクション完全解説|生成AI時代の新しい脆弱性と対策
LLM/生成AI2025.08.25AI基盤を保護する「データセット・ペネトレーションテスト」