ログイン情報ブラックマーケット：あなたのパスワードはいくらで売られているのか

ある日突然、「あなたのアカウントで不審なログインを検知しました」というメールが届く。心当たりはないのに、どこかで自分のIDとパスワードが使われている――。その裏側には、世界中の情報漏えいから集められたログイン情報が束ねられ、「1件いくら」「100万件でいくら」という単位で売買されるブラックマーケットが存在します。

この記事では、ログイン情報（クレデンシャル）がどのように盗まれ、どのように整理・束売りされ、クレデンシャルスタッフィングと呼ばれる攻撃やなりすましに使われていくのかを解説します。アメリカ合衆国や欧州連合（EU）、日本の動き、国連薬物犯罪事務所（UNODC）や金融活動作業部会（FATF）など国際機関の報告を踏まえつつ、「構造・ビジネスモデル・社会的影響・規制・リスク」という視点からログイン情報ブラックマーケットを見ていきます。

ログイン情報が「商品」になる時代の背景

IDとパスワードは、本来は個人や企業がサービスを利用するための“鍵”にすぎません。しかし、大規模な情報漏えいが続いた結果、その鍵そのものが独立した商品として扱われるようになりました。2010年代には、アメリカやヨーロッパの大手インターネットサービス、ECサイト、ゲームプラットフォームなどから、累計で数十億件規模のアカウント情報が流出したと報じられています。

こうした漏えいは一度きりでは終わらず、世界のどこかで毎年のように起こります。OECDや世界経済フォーラムなどのレポートでは、サイバー犯罪全体による世界経済への損失が年間で数千億〜数兆ドル規模に達する可能性があると指摘されており、その一部をログイン情報の不正利用が占めていると考えられています。特に日本では、総務省や個人情報保護委員会が、複数サービスで同じパスワードを使い回すことの危険性について繰り返し注意喚起してきました。

重要なのは、「一つのサービスで情報が漏れた」時点では表面化しなくても、その情報が別のサービスへの攻撃に再利用されるという連鎖です。ログイン情報は、単発の被害で終わらず、長期間にわたって複数のサービスをまたいで悪用され、ブラックマーケットの“在庫”として回転し続ける性質を持っています。

ログイン情報ブラックマーケットの構造：集める役・束ねる役・売る役

ログイン情報ブラックマーケットは、単純な盗みと転売ではなく、いくつかの役割に分業された「サプライチェーン」として動いています。おおまかに次のような階層が存在します。

1. 収集レイヤー：漏えいとフィッシングでデータを集める

最初のレイヤーは、ログイン情報を集める役割です。具体的な手口の詳細には踏み込みませんが、典型的には次のような経路が組み合わさります。

• 企業や大学、行政機関への不正アクセスによる認証情報の窃取
• フィッシングメールや偽ログインページを使った情報詐取
• マルウェア感染によるキーロガー（入力記録）やブラウザ保存パスワードの窃取
• 情報がすでに漏えいしたデータベースからの再収集

この段階では、メールアドレスとハッシュ化されていないパスワード、あるいはハッシュ値、ユーザー名、さらには住所や電話番号などの付帯情報が混在しています。データは「〇月×日に攻撃されたサービスから得た生データ」のようにバラバラの塊として手元に集まります。

2. 加工レイヤー：コンボリストとして束ねる

次に登場するのが、ログイン情報を加工する役割です。ここでは、複数の漏えい源から集めたメールアドレスとパスワードを統合し、「メールアドレス:パスワード」の形式で“コンボリスト”と呼ばれるファイルにまとめていきます。加工の過程では、次のような作業が行われます。

• 重複行の削除（同じメールアドレス・同じパスワードを1件にまとめる）
• サービス名やドメインに応じた分類（例：金融系、SNS系、ゲーム系）
• 推定地域や言語ごとの整理（例：日本語ドメインを含むものだけを抽出）

こうして作られたコンボリストは、「数十万件」「数百万件」という単位で、攻撃者にとって扱いやすい在庫として再構成されます。ここで初めて、「ログイン情報の束」が商品として意味を持ち始めます。

3. 販売レイヤー：ダークウェブや地下フォーラムでの売買

加工されたコンボリストは、ダークウェブ上の闇市場や招待制の地下フォーラムで売りに出されます。具体的なサイト名やURLには触れませんが、販売ページでは次のような情報が提示されることが一般的です。

• 件数（例：100万件セット、500万件セット）
• 対象地域や言語（例：日本語ドメイン中心、北米ユーザー中心）
• 元となった漏えいインシデントの数や種類
• 「有効率」の主張（何％くらいログインに成功する可能性があるか）
• 価格（暗号資産建てで提示されることが多い）

国連薬物犯罪事務所（UNODC）や欧州刑事警察機構（Europol）の報告では、盗まれたログイン情報や個人データが、サイバー犯罪経済における中核的な商品カテゴリの一つになっていると指摘されています。価格は市場の競争状況やデータの鮮度によって変動しますが、大量のコンボリストは比較的安価に売られ、その後の攻撃の“弾”として消費されていきます。

具体事例：巨大情報漏えいとコンボリスト流通のケーススタディ

ここでは、過去に世界的なニュースとなった大規模情報漏えいのパターンをもとに、ログイン情報がどのような経路を通ってブラックマーケットに流れるのかを整理します。特定の企業名や個人を責める意図ではなく、構造を理解するためのケーススタディとして捉えてください。

ケースAの流れ：米国・欧州の大手サービスから世界規模のコンボリストへ

• 上流（情報漏えい）：2010年代、アメリカやヨーロッパに拠点を置く複数の大手オンラインサービスで、不正アクセスや設定ミスを原因とする情報漏えいが相次ぎました。数億〜十数億件規模のアカウント情報が影響を受けたと報じられた事例もあり、メールアドレスやハッシュ化前後のパスワードが攻撃者の手に渡りました。
• 中流（加工と束ね）：複数の漏えいデータセットが闇市場で統合され、重複が削除されたうえで、「世界中のユーザーを含む巨大コンボリスト」として再構成されます。この段階で、たとえば「英語圏中心セット」「日本語ドメインを含むセット」など、用途別の小分け商品も作られていきます。
• 下流（再販と攻撃）：コンボリストを購入した攻撃者は、自動ログインツールを用いて、ECサイト、動画配信サービス、ゲーム、クラウドサービスなどに一斉ログインを試みます。過去に同じパスワードを使い回していたユーザーのアカウントが乗っ取られ、不正購入やポイントの不正利用が起こります。
• 当局と企業の対応：アメリカ連邦取引委員会（FTC）や欧州委員会、各国のデータ保護当局は、企業に対し、利用者への通知義務や再発防止策の強化、罰金の支払いを求めました。日本でも個人情報保護委員会が報告や公表を求めるケースが相次ぎましたが、一度世界に流出したコンボリストそのものを完全に回収することはできません。

このように、一つの大規模漏えいインシデントは、時間とともに複数の加工者・販売者の手を渡り歩き、何度も再パッケージ化されます。結果として、「いつの、どのサービスから漏れた情報なのか」が分からない状態のコンボリストが広く出回ることになり、被害の範囲や責任の所在を特定しにくくしています。

類似のパターンは、日本国内のサイトやアジア地域のオンラインサービスでも起きています。日本の個人情報保護法や欧州のGDPR（一般データ保護規則）は、漏えい時の事後対応や通知義務を強化してきましたが、それでも闇市場への流出を完全に防ぐことはできていません。

社会・企業・個人への影響：クレデンシャルスタッフィングという静かな連鎖被害

ログイン情報ブラックマーケットの最大の特徴は、「ある場所で漏れた情報が、別の場所で何度も使われる」という連鎖性です。これはクレデンシャルスタッフィングと呼ばれる攻撃に直結します。クレデンシャルスタッフィングとは、漏えいしたIDとパスワードの組み合わせを使い回し、他のサービスへのログインを自動的に大量試行する攻撃手法を指します。

被害のパターンとしては、次のようなものが繰り返し報告されています。

• 動画・音楽配信サービスのアカウントが乗っ取られ、第三者に共有される
• ネット通販サイトで不正購入が行われ、商品が転売される
• ポイントサービスやマイル口座から不正にポイントが引き出される
• 企業のクラウドサービスやメールアカウントが侵害され、内部情報への足掛かりにされる

日本の警察庁やIPA（情報処理推進機構）の発表では、近年の不正ログイン事案の多くが、個別のパスワード総当たりではなく、既に漏えいしているID・パスワードを再利用した攻撃であることが指摘されています。つまり、「自分が直接攻撃された」のではなく、「どこかで漏れた情報が別の場所で使われた」という構図が主流になりつつあるのです。

企業側にとっても、ログイン情報ブラックマーケットは大きな負担となります。大量の不正ログイン試行に対応するための監視システムや、CAPTCHA、二段階認証の導入、アラートメールの送信、サポート窓口の負荷増大など、目に見えないコストが積み上がっていきます。結果として、サービス利用者の利便性と安全性のバランスをどう取るかという課題が、世界中で突きつけられています。

規制・取り締まり・技術的対策：国際機関と各国当局のアプローチ

ログイン情報ブラックマーケットそのものを直接規制するのは難しいものの、関連する行為や資金の流れを抑え込むための枠組みは少しずつ整えられてきました。

国際機関の役割：UNODC・FATF・Europolなど

国連薬物犯罪事務所（UNODC）は、組織犯罪とサイバー犯罪の結び付きに関する報告書の中で、盗まれたログイン情報や個人データが、詐欺やマネーロンダリングの基盤となっていることを指摘しています。金融活動作業部会（FATF）は、オンラインサービスや暗号資産交換業者に対する本人確認（KYC）や疑わしい取引の監視を強化するよう、加盟国に勧告してきました。

欧州刑事警察機構（Europol）やインターポールは、各国警察と連携し、ダークウェブ上の市場や地下フォーラムに潜入捜査を行い、運営者や主要販売者の摘発を進めています。また、日本の警察庁やサイバー犯罪対策課も、国内法に基づき、不正アクセス禁止法や不正指令電磁的記録に関する罪などを適用して、ログイン情報の売買に関わる人物を摘発してきました。

技術とルールの両面からの防御

技術的な防御としては、多要素認証（パスワードに加え、ワンタイムコードや生体情報を組み合わせる方式）の普及が鍵となります。アメリカ国立標準技術研究所（NIST）や欧州ネットワーク情報セキュリティ庁（ENISA）は、パスワードだけに依存しない認証方式を推奨しており、日本でも金融機関や大手ウェブサービスで採用が進んでいます。

一方で、すでに流出してしまったログイン情報については、「漏えい済みパスワードのブラックリスト」を用意し、それに一致するパスワードはそもそも新規登録・変更に使えないようにする取り組みも行われています。これは、ログイン情報ブラックマーケットを完全に無効化するものではありませんが、少なくとも「過去に漏れたパスワードを未来にわたって使い続ける」という状況を抑制する効果が期待されています。

まとめ：ログイン情報ブラックマーケットを理解する意味

ログイン情報ブラックマーケットを理解することは、犯罪の手口に興味本位で近づくためではなく、「自分の生活と仕事のどこにリスクが潜んでいるのか」を知るために重要です。最後に、読者が意識しておきたいポイントを整理します。

• ログイン情報は、一度漏えいすると、世界規模のブラックマーケットでコンボリストとして束売りされ、長期間にわたり攻撃に利用される。
• クレデンシャルスタッフィング攻撃により、「別のサービスで使い回していたパスワード」が狙われ、動画配信やEC、クラウドサービスなど複数のアカウントが芋づる式に被害を受ける。
• 被害のコストは企業や利用者、決済事業者、社会全体に分散してのしかかり、サイバー犯罪全体の経済的損失は世界で年間数千億〜数兆ドル規模と推計されている。
• UNODCやFATF、Europol、日本の警察庁・金融庁などが、規制・捜査・ガイドライン整備を進めているが、完全な抑止には至っていない。
• 個人レベルでも、パスワードの使い回しをしない、多要素認証を有効にする、怪しいメールやSMSからはログインしない、といった基本的な対策が、最も現実的で効果的な防御線になる。

「自分のパスワードはいくらで売られているのか」という問いは、単なるショッキングなキャッチフレーズではなく、日々の便利さの裏側にある構造を見つめ直すためのきっかけです。ブラックマーケットの存在を冷静に理解しつつ、個人と組織の両面で、現実的なリスク低減策を考えていくことが求められています。

真堂 泉（サイバー犯罪・ダークウェブ担当）／ 犯罪経済ラボ