ダークウェブで高値で売買されるパスポートのセルフィー
違法な商品やサービスが売買されるアンダーグラウンドなダークウェブでパスポートの写真やスキャン画像が流通している。パスポート画像の値段は様々だが、他の個人情報とセットで高値で売買されるケースが増えている。
(出典:www.comparitech.com)
Comparitechのポール・ビスチョフ氏がDream Market、Berlusconi Market、Wall Street Market、Tochka Free Marketといった複数のダークウェブを調査したところ、偽造パスポートの平均価格は約16万6000円で、本物のパスポートは平均価格で約150万円で売買されているという。パスポートの値段はイギリスやEU圏のもので高値が付く傾向にある。
パスポートの現物の売買はかねてより行われていたがビスチョフ氏によると、近年は パスポートのデジタル画像の売買も活発になっているという。以下のようにパスポートを持った女性のセルフィ―(自撮り)では0.00916BTC(約7000円)で売られている。パスポートのデジタルスキャン画像の平均価格は1600円程だが、その他の公共料金の支払い証明など、別の証明書がセットになると、平均価格は7000円前後になるという。
(出典:www.comparitech.com)
何故パスポートのセルフィーに値段つくのか?
何故現物のパスポートではないデジタル画像にも値段がつくのか?仮想通貨ユーザーなら思い当たる節があるだろう。そう、仮想通貨取引所のアカウント乗っ取りだ。
多くの仮想通貨取引所ではセキュリティ強化のため二段階認証を推奨している。そのため攻撃者はフィッシングなどによりパスワードを不正入手したとしてもログインや出金をするにはその都度送られてくるワンタイムパスワードが必要になる。二段階認証で代表的なGoogle Authenticator は30秒毎にワンタイムパスワードを作成するので理論上は悪意ある他人がハッキングする事は不可能だと言われている。
しかし、ビスチョフ氏によるとパスワードを入手した攻撃者がアカウントの所有者になりすまして取引所に対して「スマートフォンを紛失した」などと訴えて、二段階認証のリセットを要求するというケースがあるという。このような場合、仮想通貨取引所は二段階認証のリセットを行う前にユーザーの身元を確認できる情報の提出を求めるのだが、取引所によっては“形式的”で“最低限”の身元確認作業で二段階認証のリセットに応じる場合もあるという。その場合、攻撃者はダークウェブで入手したパスポート画像を提出する事でアカウントを乗っ取り保管されている仮想通貨を奪い取れてしまう。
どうやって予防するのか
ビチョフ氏はパスポートのスキャン画像が流出し悪用するのを防ぐにはパスポートの保管に注意をするのが基本だという海外ホテル宿泊時にパスポートの提出を求められた際にもあらかじめ白黒のコピーを用意しておくなどの対策を推奨している他、ローカルの端末やクラウドなどにスキャンデータを保存することも控えるべきだと警告する。
日本の取引所の今後の対応は
パスポートの悪用による取引所アカウントの乗っ取りに関しては現在のところ(2018年10月)日本では報告されていないが、仮想通貨取引所は今後KYCの認証方法に関して、パスポートのセルフィ―画像の提出だけではなく動画を用いたKYCを導入するなどなどこれまで以上に厳格にしていく必要があるようだ。
(参考:comparitech.com)