漏洩しやすいIDとパスワードに加え、ユーザーの行動パターンから認証する「リスクベース認証」が普及してきている。ログイン端末のOSやIPアドレスといった、いわばネット上のユーザーの指紋を認証に利用すれば、負担なく不正アクセスが防げると考えられていたが、最近ではこれを偽装する手口も登場しているようだ。

このほどアイントホーフェン工科大学の研究者は、こうしたユーザーの指紋が取引されるブラックマーケットを発見した。

研究者は、このクラウドサービスを「IMPaaS（サービスとしてのなりすまし：IMPERSONATION-AS-A-SERVICE）」と名付けている。

ユーザープロファイルは継続的に更新

ロシアを拠点とする地下マーケットプレイスには、メールアドレスやパスワードなどの情報と、それに紐づく詳細なユーザープロファイルが販売されている。その数26万以上。こうしたユーザープロファイルは更新されるとのことで、ターゲットが継続的に追跡されていることがうかがえる。

また、データベースの検索によってピンポイントでターゲットを絞り込むことも可能。さらには、購入したユーザープロファイルを対象Webサービスに自動で適用するソフトまで用意されている。

暗号資産/電子マネープラットフォーム関連のプロファイルは高値で取引

研究者は、地下マーケットプレイスにアクセスするにあたって、関係者筋から特別な招待コードを入手した。アカウントは監視されているためデータの収集は簡単ではなかったようだ。

ユーザーのデータは、1ドルから100ドル程度の価格で販売されており、暗号資産/電子マネープラットフォーム関連のプロファイルが含まれていれば、通常の2倍以上の価格がついていた。また、先進国のユーザーデータにも高値がつけられていたという。

IMPaaSの存在が明るみに出ることで、リスクベース認証が必ずしも信頼できるものではないことが示された。とりわけ重要なサービスについては、不審なログイン履歴などを定期的にチェックする必要がありそうだ。

参照元：Researchers TU/e find huge and sophisticated black market for trade in online ‘fingerprints’/ TU/e