あなたのIDはもう“商品”かもしれない ダークWeb流出「発覚後」の生存戦略：サイバー攻撃からの“自衛”はどのようにすべきか

個人情報がダークWebに流出すると、被害者は金融資産やWebサービスのログイン権を奪われる可能性がある。自分の個人情報の流出を防ぐための方法と、万が一流出した場合に被害を最小限に抑える方法を説明する。

[TechTargetジャパン]

　ダークWebは、オープンソースの「Tor Browser」（トーアブラウザ）といった、匿名化された通信が可能な専用WebブラウザでなければアクセスできないWebサイト群だ。ダークWebには検閲や弾圧を逃れるために、プライバシーを強化したコンテンツやサービスを提供する正当なWebサイトやフォーラムが存在する一方で、サイバー犯罪者の巣窟にもなっている。追跡や身元の特定を恐れることなく、悪質なフォーラムやマーケットプレースなどのサイトを利用できるからだ。これらのWebサイトでは、ハッキングツールやエクスプロイト（脆弱性攻撃コード）、脆弱性情報とともに、盗まれた個人情報、金融情報などが売買されている。

　セキュリティベンダーのESETは2026年1月13日、同社の公式ブログ「WeLiveSecurity」で、個人情報がダークWebに流出した場合、どのような危険があるのか、どう対処すべきか、流出を防ぐにはどうすべきかを解説した。

個人情報がダークWebに流出する複数の経路

　ESETは、個人識別情報（PII）や認証情報、金融データがダークWebで売りに出される主な経路として、以下を挙げる。

併せて読みたいお薦め記事

ダークWebの実態

• “ダークWeb”を使えば「究極のランサムウェア予防」ができる理由
• 攻撃者の“闇市場”「ダークWeb」へようこそ　その利用方法を解説

データ侵害

　企業から盗まれた顧客情報や従業員情報が売りに出される。人々がオンラインでさまざまな企業のサービスを利用する現代では、こうしたデータ侵害に巻き込まれるリスクが増大する。企業からデータを盗み、脅迫する二重脅迫型ランサムウェア攻撃のまん延も、このリスクを高めている。

インフォスティーラー（情報窃取型マルウェア）

　「RedLine」や「Lumma Stealer」といったエクスプロイトキット（サイバー攻撃のためにパッケージ化されたツール群）がMaaS（Malware-as-a-Service：サービスとしてのマルウェア）として提供されており、攻撃者の間で急激に利用が拡大している。こうしたマルウェアはモバイルアプリケーションやWebサイト、広告、フィッシングメールのリンクや添付ファイルなどに隠される。収集されたデータは脅威アクターにまとめられ、ダークWebで販売される。

フィッシング

　フィッシングは人間から情報を盗む主な手法の一つだが、生成AIツールの登場で攻撃規模の拡大やメッセージのパーソナライズが容易になった。多言語で自然な文章の作成が可能になったことも、成功率を高めている。被害者がフィッシングサイトに入力した個人情報は、ダークWebに流出することがある。

偶発的な漏えい

　企業がクラウドインフラでシステムの開発や運用をするときに、オンラインデータベースへのアクセスにパスワードを要求しないといった、情報漏えいにつながる構成ミスや設定の不備が発生することがある。それらが放置されると、攻撃者がデータベースごと盗んでダークWebで売ったり、データベースを削除して企業を脅迫したりする恐れがある。

サプライチェーン攻撃

　企業のデータ共有先のサプライヤーやパートナーがハッキングされ、それらを足掛かりにして共有元のシステムが侵害される場合がある。これらのサプライヤーやパートナーは、共有元の企業よりもセキュリティ体制が甘い場合があるためだ。

ダークWebで売られた個人情報はどうなるのか

　サイバー犯罪者は金融情報（銀行口座番号やカード詳細、ログイン情報）、PII、アカウントのログイン情報を求めている。これらを入手すれば、アカウントを乗っ取ってデータや資金を盗み出したり、保存されたカード情報にアクセスしたりできるためだ。PIIを用いてフィッシング攻撃を仕掛け、金融情報の入手を図ることも可能だ。PIIを使って新たな信用枠を申請したり、医療を受けたり、福祉給付を受給したりといったなりすまし詐欺をする可能性もある。

　MFA（多要素認証）の回避に使えるセッショントークンやCookieも、サイバー犯罪者が欲しがる情報の一つだ。

ダークWebに自分の情報が流出した場合の対処法

　ESETは、自身の個人情報や金融情報がダークWebに流出しているという警告を受けたユーザーに対して、以下の対策を取ることを勧めている。

• 侵害されたパスワードを変更する。その際、パスワードマネジャーを利用して、強力かつサービスごとに固有の資格情報のみを使用するようにする。
• 全てのアカウントでMFAを有効にする。傍受される可能性があるSMS（ショートメッセージサービス）ではなく、認証アプリケーションやハードウェアセキュリティキーを使用する。
• 利用中の全てのデバイスとサービスからログアウトする。ハッカーがセッションCookieを盗んでいる場合、これによって攻撃を阻止できる。
• 銀行に連絡し、クレジットカードやキャッシュカードを止めて再発行を依頼する。
• 主要な信用調査機関に信用情報の凍結を申請する。これにより、自分の名義で新たな信用枠が開設されるのを防げる。
• PCやデバイスをスキャンし、インフォスティーラーが潜んでいないか確認する。
• 管轄の行政機関に情報漏えいを報告する。

PIIを守る長期的な対策

　ESETは、事態が落ち着いた後で、機密情報がダークWebに流出するリスクを軽減するために取れる対策も紹介している。概要は以下の通りだ。

• 企業に預ける個人情報を減らす。
  • Appleが提供する「メールを非公開」（Hide My Email）のようなサービスを利用する。これは実際のメールアドレスを隠してサービスごとに専用のメールアドレスを生成し、個人情報を保護する機能だ。
  • Webサイトで買い物をする際は、クレジットカード情報を保存せず、ゲストとして決済する
• 全てのデバイスに信頼できるセキュリティソフトウェアを導入する。
  • インフォスティーラーへの感染やフィッシングの被害にあうリスクを下げられる。
• リンクや添付ファイルを含む心当たりのない電子メールやSMS、SNSメッセージには警戒する。
• ソーシャルメディアのアカウントを全て「非公開」に設定する。
• 暗号化された通信サービスや、プライバシーを強化したブラウザ、検索エンジンを使用する。
• アイデンティティー（ID）保護製品やサービスを利用する。
  • 例えば自分のメールアドレスやパスワードが漏えいしていないか調査できるWebサイトとして、Superlative Enterprisesの「HaveIBeenPwned」などがある。こうしたサービスを利用することで、PIIがダークWebに流出した際にアラートを受け取ったり、漏えいが起こったときにパスワード変更などの対策を取ったりできる。