独立系サイバー脅威インテリジェンスのDaily Dark WebのX投稿「Dark Web Intelligence」によると2万件以上の日本人のKYCデータがダークウェブに漏洩して流通しているようです。KYCはKnow Your Customer(顧客を知る)の略で、KYCデータは本人確認手続きで必要な記録や文書のことです。
「2026年の日本の運転免許証に関する最新データ」との投稿
Daily Dark WebのX投稿によると、ダークウェブのフォーラムに「資料:2026年の日本の運転免許証に関する最新データ」とタイトルが付けられた投稿が行われ、投稿には「検証済みKYCデータにアクセスできます」「すぐにアクセス可能の身分証明書と完全なKYCパッケージをお探しですか?」などの文面とともに「数回クリックするだけで、パスポート、IDカード、Fullz、セルフィ―などすべて検索可能、プレビュー可能で、すぐに配信されます」などと売り込む文面が記載されています。
そして「利用可能なデータ型」として「パスポート+自撮り写真」「身分証明書(表裏)+自撮り写真」「運転免許証+自撮り写真」「Fullz+社会保障番号+生年月日」と4種類を明示しています。また対応国は150カ国以上としアメリカ、ブラジル、トルコ、メキシコ、ドイツ、インド、カナダの国名をあげています。件数は2万件以上とされています。
ハッカー向けにパッケージされたFullzデータも
投稿のタイトルは運転免許証とうたっていますが、その内容は運転免許証データを含むKYCデータのようで、パスポートやIDカード、社会保障番号も含まれているようです。またFullzというものが含まれていますが、これはサイバー犯罪においてパッケージ化された完全な個人情報という意味で、Fullzはハッカーらが使用している俗語のようです。Fullzのデータを入手したサイバー犯罪者はそのデータの個人に対してただちに攻撃を行うことが可能な情報がまとまっているという意味のようです。
Daily Dark WebのX投稿は、このダークウェブのフォーラム投稿について「中程度の信頼性」と評価しており、KYCマーケットプレイスは確立されているとしつつ、2026年の最新データとの主張には誇張がある可能性があり、古いデータや再利用された記録が含まれている可能性があるとしています。また、脅威インテリジェンスの洞察として、KYCは本人確認データであり、典型的な漏洩よりもはるかに危険だとし、サイバー犯罪でアカウント認証を回避するために使われたり、身元詐欺やアカウント乗っ取り、長期的な身元の濫用などに悪用される可能性を示唆、グローバル詐欺キャンペーンにおける日本人ユーザーのリスクが増加していると指摘しています。そして「IDに自撮り写真が付属すると、もはや単なるデータではなく、利用可能な身元となります」と注意喚起しています。
ダークウェブは虚実が混沌としている世界で、そこで出回っている情報は真偽不明で、フォーラムへの投稿もガセであったり、実際とは異なる内容だったりするためフォーラムに投稿された内容を鵜呑みにすることは危険ですが、一方でダークウェブのマーケットでは様々なデータが売買されており、世間を騒がせているサイバー攻撃やサイバー犯罪においてダークウェブから入手されたデータが悪用されている実態があることも事実です。ランサムウェア攻撃などによる侵害を受けて企業に大きな被害が出たり、個人の口座が狙われて多額の金銭が窃取されたり、機微な情報が盗まれたりする前に必要なセキュリティを導入することは重要なことですが、それとともにダークウェブの動向を把握し真偽を見極めることが重要です。Daily Dark WebのX投稿について言えば、「日本人ユーザーのリスクが増加している」との指摘に注目する必要があります。