企業のIT環境がクラウド化し、SaaS・リモートワーク・ゼロトラストなどの概念が一般化した現代において、最も狙われているデータが「資格情報(アカウント情報)」です。資格情報とは、ユーザーID、パスワード、トークン、APIキー、アクセスキーなど、システムにログインするための情報を指します。
これらは、サイバー攻撃者にとって“金の成る木”。
企業のネットワークに侵入する最も確実でコストの低い手段として、ダークウェブでは日々大量の資格情報が売買されています。
本記事では、以下についてわかりやすく解説します。
アカウント・パスワードの市場価値
そこから引き起こされる 二次被害の実態
いま企業が必ず導入すべき MFA(多要素認証)と関連セキュリティ対策
1. なぜ「資格情報」がダークウェブで売られるのか
■ 資格情報が最も価値の高い“攻撃の入口”
ランサムウェア攻撃や不正アクセスの大半は、ゼロデイ攻撃のような高度な技術によるものではなく、既に漏洩しているパスワードの再利用(クレデンシャルスタッフィング)が入口になっています。
攻撃者にとっては、
新たな脆弱性を探す必要がない
セキュリティ監視をすり抜けやすい
社内ネットワークへ正規ユーザーとして侵入できる
というメリットがあり、コストパフォーマンスが高いためです。
■ ダークウェブで取引される情報の種類
ダークウェブでは、以下のような形式で売買されています。
メールアカウント(Microsoft 365、Google Workspaceなど)
SaaS管理者アカウント
VPNアカウント
社内システム(ERP、財務、人事系)
RDP(リモートデスクトップ)アクセス権
APIキー・クラウド管理権限(AWSやAzureのキーが狙われやすい)
とくに クラウド環境のIT資産管理 が複雑化するなかで、
APIキーやトークンの漏洩は、攻撃者に“システムの裏口”を丸ごと渡すリスクになっています。
2. アカウント・パスワードの市場価値:どれくらいで売られているのか
■ 価格は驚くほど低い
ダークウェブでの相場は意外なほど安価です。
一般的なビジネスメールアドレス: 数百円
社内VPNアカウント: 数千円~数万円
RDPアクセス: 数千円
SaaS管理者アカウント: 数万円
クラウド環境の管理キー(AWS等): 数万円〜数十万円
なぜ安いのか?
“攻撃者が使って利益を得られる”からであり、資格情報そのものには値段がついていないのです。
■ 「セット販売」で狙われる中小企業
攻撃者が最も好むのは、複数のID・パスワードが一括で漏れた企業です。
フィッシング攻撃の被害者データが 企業単位でまとめ売り されるケースも増えています。
セット販売されると、
社内の複数システムにログイン可能
従業員になりすまして情報収集
権限昇格や横展開が容易
となり、攻撃者にとっては「企業丸ごと攻略しやすい状態」です。
3. 資格情報漏洩が引き起こす“二次被害”の実態
資格情報が流出すると何が起こるのか?
単なるアカウント乗っ取りだけでは終わりません。
■(1)メールアカウント乗っ取り → BEC詐欺(ビジネスメール詐欺)
攻撃者はまずメールに侵入し、取引先・請求書・社内フローを分析します。
そして支払い口座変更メールを送る「BEC詐欺」が発生します。
被害額が数千万円規模になるケースも珍しくありません。
■(2)社内ネットワークへの横展開
1つのアカウントを起点に、次のような行動が行われます。
ファイルサーバや基幹システムへ不正アクセス
他従業員のパスワードを収集
特権アカウントを奪取
セキュリティ監視の停止
こうして 内部からのハッキング が可能になります。
■(3)ランサムウェア攻撃への移行
現在のランサムウェアは「二重脅迫」が主流です。
資格情報で侵入
社内データを窃取
その後ランサムウェアを展開
暗号化解除 + 情報公開停止の二重で身代金を要求
と進みます。
つまり、“ランサム攻撃は資格情報から始まる”のです。
■(4)個人情報の大量流出 → 法的リスクへ発展
個人情報保護法違反
行政処分
取引先からの賠償請求
ブランド毀損
メディア報道
企業が最も恐れる“信用失墜”は、たった1件のパスワード漏洩から連鎖します。
4. 漏洩の連鎖を止める「多要素認証(MFA)」の必須化
資格情報を狙った攻撃は、MFA(Multi-Factor Authentication)で大幅にリスクを下げられます。
■ MFAが有効な理由
攻撃者がパスワードを入手しても、
認証アプリのコード
ハードウェアトークン
生体認証
FIDO2キー
が求められることで侵入を阻止できます。
とくに フィッシング耐性を持つFIDO2(パスキー)認証 は、今後の企業標準になるでしょう。
■ ただし「形だけのMFA」は危険
ワンタイムパスワードをSMSに送る方式
認証アプリの「承認ボタン連打」による MFA疲れ
社員のスマホ紛失時の対応不足
管理者アカウントにMFA未設定
これらは攻撃者に突破される原因です。
対策には MFAの強制化、ポリシー設定、ログ監視 が不可欠です。
5. MFAだけでは不十分:防御の精度を高める追加セキュリティ対策
資格情報を守るには、多層的なセキュリティ対策が欠かせません。
■(1)フィッシング攻撃対策
資格情報流出の最も一般的な原因がこれです。
メールフィルタリング
振る舞い検知
分析にAIを活用したセキュリティ製品
社員教育(疑似フィッシング訓練)
■(2)アンチウイルス・EDRの導入
マルウェアによりブラウザ内の認証データが盗まれるケースが増えているため、
従来型アンチウイルスに加え、EDR/XDRによる侵入後対策が不可欠です。
■(3)IT資産管理とシャドーITの排除
APIキー、認証トークン、個人管理のSaaSアカウントは特に狙われます。
企業は以下を徹底すべきです。
SaaS利用状況の可視化
資格情報のガバナンス統制
退職者アカウントの即時削除
クラウド権限の最小化管理
■(4)ダークウェブ監視
すでに漏洩した情報を早期に発見するには、
ダークウェブ監視サービスの導入が効果的です。
社員メールアドレス
VPNアカウント
管理者アカウント
APIキー
これらが出回っていないかを継続的にチェックし、
漏洩が確認されたら即座にパスワードリセット・強制MFA設定を行います。
6. まとめ:資格情報の管理が、企業のサイバー防御力を左右する
サイバー攻撃の多くは、華麗なハッキングではありません。
単純な「パスワード1件の流出」から始まる現実的な攻撃です。
情報漏洩
不正アクセス
フィッシング攻撃
ランサムウェア被害
BEC詐欺
個人情報保護法違反
経営リスクの顕在化
これらはすべて、資格情報の管理を軽視した結果として連鎖的に起こるものです。
企業が取るべき行動(要点)
すべてのアカウントに MFAを強制適用
特に管理者・VPN・クラウドは FIDO2/パスキーを推奨
フィッシング攻撃対策を強化(AI防御・訓練)
EDR/XDRで資格情報盗難型マルウェアに対処
IT資産管理を徹底し、APIキーやトークンの棚卸しを継続
ダークウェブ監視を導入し、漏洩を即時検知
資格情報を守ることは、企業のセキュリティ対策の中でも最優先事項です。
パスワード1つの軽視が、企業の信頼を根底から揺るがす時代。
今こそ、認証基盤の強化と漏洩対策を組織全体で進める必要があります。