日々ダークウェブを調査していると、一時的に話題になって消えていくマーケットと、特に名前を変えることもなく、淡々と存在感を増していくマーケットに分かれることがあります。
Russian Market は、後者の典型です。
2019年頃から活動が確認されていますが、大きなリブランディングをしたり、派手な宣伝をしたりすることはありません。
それでも、この数年で扱われるデータの量と質は明らかに変わってきました。
私たちが企業の環境を調査したり、インシデントの痕跡を追ったりしていると、「どこで漏れたのか分からない認証情報」や「正規のアカウントで侵入された形跡」に行き当たることがあります。
そうしたケースを丁寧に辿っていくと、Russian Market で流通している形式のデータと一致する場面に出会うことが、年々増えてきました。
このマーケットが厄介なのは、特別に高度な攻撃を生み出しているわけではない点です。むしろ、Lumma Stealerに代表されるような、強力な情報窃取型マルウェアによって収集された鮮度の高いデータを、効率よく流通させるエコシステムを構築している点にあります。
むしろ、すでに盗まれた情報を整理し、使いやすい形で流通させているだけ、とも言えます。
ただ、その「だけ」が、企業にとっては最も気づきにくく、対処が後回しになりやすい入口になっています。
TABLE OF CONTENTS
Russian Marketとは何か
Russian Marketは、ダークウェブ上で運営されているマーケットのひとつです。
麻薬や偽造品のような物理的な商品ではなく、認証情報・金融データ・個人情報(PII)といった、データそのものが主な取引対象になっています。
調査上、把握できている範囲では、次のような特徴があります。
- 2019年頃から継続的に稼働している
- 利用言語は英語が中心で、特定の国に閉じた市場ではない
- TOR経由でのアクセスを基本としている
- 暗号資産(Bitcoin / Litecoin / Ethereum など)による取引
こうした条件だけを見ると、他のダークウェブマーケットと大きな違いはないようにも見えます。
ただ、実際に調査や診断の中で観測していると、一時的に立ち上がって消えていくタイプではなく、「継続して使われる前提で存在しているインフラ」として扱われている印象を受けます。
Dark Web Marketという存在
いわゆる Dark Web Market(DWM)は、通常の検索エンジンから辿れる場所ではありません。
TORなどの匿名通信を前提としたネットワーク上で、外からは見えにくい形で運営されています。
そこで扱われているのは、次のようなものです。
- 盗まれた認証情報
- クレジットカード情報
- マルウェアや不正ツール
- 不正アクセスに使われる踏み台情報
どれも単体で見ると断片的な情報ですが、マーケットの中では商品として整理され、条件で絞り込まれ、比較され、選ばれていきます。
「誰かが盗んだ情報」ではなく、「すぐ使える素材」として流通している。
それが、DWMの現実です。
Russian Marketは、こうしたダークウェブマーケットの中でも、特にデータそのものの流通に特化した代表的な存在だといえます。
Russian Marketが扱う主な商品
認証情報・アカウント情報
Russian Marketで最も多く流通しているのが、次のようなアカウント関連の情報です。
- Webサービスのログイン情報
- 社内システムやクラウドの認証情報
- RDP(リモートデスクトップ)の接続情報
一見すると、よくある「アカウント漏えい」の話に見えるかもしれません。
ただ、実際の現場では、これらが単体で悪用されて終わるケースは多くありません。
ひとつのアカウント情報を起点に、他のサービスへ横展開されたり、内部環境に自然に溶け込まれたりすることがあります。
侵入のログだけを見ると、「正規の利用」と区別がつきにくい。
その点が、こうした情報流通のいちばん厄介なところです。
クレジットカード・金融情報(CVV)
クレジットカード番号や、その関連情報も、Russian Marketではまとまった形で取引されています。
いずれも、新たに盗まれたものというより、すでにどこかの段階で抜き取られ、流通に回ったデータです。
企業のシステムを直接狙った形跡がなくても、こうした情報が裏側で動いていることは、決して珍しい話ではありません。
Stealer Logs(情報窃取マルウェア由来のログ)
Russian Marketを語るうえで、Stealer Logsの存在は外せません。
これは、情報窃取型マルウェアに感染した端末から抜き取られた情報を、「1台分の状態」としてまとめたデータです。
単なるリストではなく、その端末に何が残っていたかを、そのまま切り取ったような形になっています。
ログの中身は、たとえば次のような情報です。
- ID・パスワード
- ブラウザに保存されていた認証情報
- セッションを維持するためのクッキー
- クレジットカードなどの決済情報
診断やインシデント対応の現場では、この形式の漏えいがいちばん発見されにくい入口になることがあります。
侵入経路を追っていっても、「いつ」「どこで」抜かれたのかが特定しづらく、気づいたときには、すでに別の攻撃に使われている。
そういう場面を、何度も見てきました。
なぜStealer Logsは厄介なのか
Stealer Logsは、量が多いから危険なのではありません。
診断や調査の現場で厄介に感じるのは、使われ方が変わってきている点です。
Russian Marketでは、従来の闇市場とは少し違う形で、このデータが扱われています。
一括ではなく「個別最適化」されている
以前の闇市場では、数万件、数十万件といった単位で、まとめてデータが売られることが一般的でした。
大量ではあるものの、使えるかどうかは買ってみないと分からない。
そうした“当たり外れ”を前提とした取引が多かった印象です。
一方で、Russian Marketでは、次のような条件でデータを絞り込める形が整っています。
- OS
- 国・ISP
- メールドメイン
- Webサイトドメイン
必要な条件に合うログだけを探せるため、無駄がありません。特に、LummaやRedLineといった特定のマルウェアファミリーでフィルタリングしたり、特定の企業のドメインを指定してログを買い叩くことが可能です。
価格も比較的安く、狙いを定めやすい。
攻撃者にとっては、リスクが低く、成功率を上げやすい構造になっています。
感染に気づかないケースが多い
もうひとつ厄介なのが、Stealer系マルウェアの挙動です。
多くの場合、次のような特徴があります。
- 表面上の動作が軽い
- 目立った破壊行為を行わない
- EDRでも見逃されることがある
その結果、端末の利用者も管理側も、異変に気づかないまま時間が過ぎていきます。
「何も起きていないように見える端末」から、静かに情報が抜き取られている。
Stealer Logsが問題になるのは、まさにこの点です。
Russian Marketの構造と運営の特徴
Russian Marketを調査していて印象に残るのは、扱っている情報の中身だけではありません。
市場そのものの設計が、非常に整理されている点も見逃せない要素です。
攻撃者が長く使い続ける前提で作られていることが、画面構成からも伝わってきます。
シンプルで“使いやすい”設計
Russian Marketの操作画面は、全体的に無駄がなく整理されています。
確認できる主な項目は、次のようなものです。
- 購入履歴
- デポジット管理
- サポート
- ニュース
一般的なECサイトと大きく変わらない感覚で利用できるため、初めて触る利用者でも迷いにくい構造になっています。
脅威の観点で見ると、この「使いやすさ」は決して軽視できません。
ツールが最初から用意されている
Russian Marketでは、単にデータを売買する場を提供するだけでなく、攻撃の初動を早めるための実用的なツールが最初から組み込まれています。 たとえば、次のようなものです。
- Bin Checker: 盗み取ったクレジットカードのBIN(発行者識別番号)から銀行名やカードの種類を特定し、データの有効性を検証するツール。
- Netscape to JSON Cookie Converter: 多くのマルウェアがNetscape形式で書き出すクッキー情報を、攻撃用ブラウザや自動化ツールで読み込みやすいJSON形式に変換するツール。
これらは、購入後に外部で準備する必要がありません。
「何を買うか」だけでなく、「買った後にどう使うか」までが、あらかじめ想定された構造になっています。
現在のRussian Marketと、現場での実感
2025年時点でも、Russian Marketは活動を継続しています。
大規模な摘発や閉鎖が話題になることはあっても、完全に姿を消したと判断できる状況は確認されていません。
診断やインシデント対応の現場では、次のような兆候から調査が始まることがあります。
- 見覚えのないログイン
- MFAを回避された形跡
- 正規アカウントによる内部侵入
これらを丁寧に追っていくと、侵入経路がはっきりしないまま進み、最終的にStealer Logs由来と思われる情報に行き着くケースがあります。
直接的な侵入の痕跡が残っていないため、初動では見逃されやすい。
その点も、この種のマーケットが長く使われ続けている理由のひとつだと感じています。
まとめ:情報が流通する前提で、どこを見るか
攻撃者が特別な技術を使っているとは限りません。
診断や調査を続けていると、むしろ逆だと感じる場面のほうが多くあります。
すでに盗まれ、整理され、売られている情報を、必要に応じて選んでいるだけ。
Russian Marketは、そのための場所として機能しています。
そう考えると、注目すべきなのは「新しい攻撃手法」ではありません。
自分たちの環境の中に、どんな情報が自然に残っているのか。
どこまでが無意識に共有され、どこからが管理されているのか。
その境界のほうが、ずっと重要に見えてきます。
たとえば、
- 端末の中に、どの情報が当たり前のように保存されているのか
- 認証情報が一つ漏れた場合、どこまで操作が可能になるのか
- 異常としては扱われないが、違和感として残る兆しは何か
こうした点は、大きな仕組みを変えなくても、一度整理することができます。
ログを見直す、設定を確認する、運用の前提を言葉にしてみる。
それだけでも、見え方が変わることがあります。
Russian Marketを継続的に見ていると、狙われているのは「守っていない企業」ではなく、守っているつもりで放置されている領域なのだと感じます。
どこが抜けているのかを断定する必要はありません。
ただ、どこが曖昧なままになっているのか。
そこに一度だけ目を向けてみる。
その視点自体が、予防の一部になっているはずです。
投稿者プロフィール
-
Offensive Security Engineer
15年以上の実績を持つ国際的なホワイトハッカーで、日本を拠点に活動しています。「レッドチーム」分野に精通し、脆弱性診断や模擬攻撃の設計を多数手がけてきました。現在はCyberCrewの主要メンバーとして、サイバー攻撃の対応やセキュリティ教育を通じ、企業の安全なIT環境構築を支援しています。
主な保有資格:
● Certified Red Team Specialist(CyberWarFare Labs / EC-Council)
● CEH Master(EC-Council)
● OffSec Penetration Tester(Offensive Security)
