セキュアイノベーションが読み解く㊤
最近、ランサムウェアのニュースなどでしばしば登場するダークウェブ。ダークウェブにあるサイトは闇サイトなどと呼ばれオドロオドロしいイメージもつきまとう。ダークウェブとは一体どのような世界なのだろうか? ダークウェブの調査を手がけているセキュアイノベーションに解説していただいた。
匿名性の高い足がつきにくい領域
私たちが普段使っているインターネットは、検索エンジンで検索してマイクロソフトのエッジやグーグルのクロームといった一般的なブラウザで見ることができる世界です。これはサーフェイスウェブと呼ばれているウェブの領域になります。また、検索エンジンでは検索されず、ログインしてアクセスするなど技術的に制限された領域はディープウェブと呼ばれています。ディープウェブも例えばメールやオンラインサービス、内部ネットワークなど私たちの日常の活動と密接に結びついている領域になります。
一方、ダークウェブは通常の検索エンジンでは見ることができない、特殊なブラウザやツールを使わないとアクセスできない匿名性の高い領域です。ダークウェブにはFreenetとかI2P(アイ・ツー・ピー)と呼ばれているものもありますが、一般的にはTor(The Onion Router)を使った「.onion」をドメインとしたオニオンランドなどと呼ばれているネットワークのことを指しています。当社の調査もTorを対象に行っています。Torではタマネギの皮のように何層にもわたり暗号化が行われているため匿名性が担保され、いわゆる足がつきにくいのです。
不正ツールの販売サイトや攻撃情報が投稿されるフォーラム
通常のインターネットでは、例えばヤフーを見る時はヤフーのアドレスにアクセスして、ヤフーのサーバーがここからのIPだから返すねと折り返して表示され、その履歴も残るわけですが、Torの場合は複数のノードを暗号化しながら経由し、対象のサイトにアクセスするため、経路をたどるのが困難なことから匿名で発言して活動することができます。そのため例えば自由な言論活動の場などとして利用されることが期待され、実際、フェイスブックやツイッター、一部のメディアなどはTorにサイトを出しています。しかし、匿名で活動でき足がつきにくいという特性から不正な活動を目的とした人たちが続々と集まってきて、その結果、ダークウェブと呼ばれるようになった経緯があります。
ダークウェブには様々なサイトがあり、いわゆる闇サイトと呼ばれたりもします。当社では情報漏えいという観点からこれらの闇サイトの調査を行っておりますが、どのようなサイトがあるのか一例を紹介します。闇サイトとして知られている代表的なサイトとしてDark Foxというサイトがあります。このサイトはハッキング代行、ランサムウェアの運用サービス、不正なソフトウェアなど違法な商品やサービスを売買している「マーケットサイト」です。また、「フォーラム」とも呼ばれるいわゆる掲示板サイトがあり、Dreadというフォーラムでは、サイバー攻撃者が協力者を募っていたり、標的とする組織の情報を求める投稿をしたりしています。「〇〇会社を攻撃するけどいっしょにやる人いない」とか、「××会社を攻撃したいのだけれど情報持っている人いない?」といったやりとりの投稿が常に行われています。
リークサイトなどをパトロールして通報
さらには、ニュース報道で取り上げられることもあるLockBitやLorenzに代表されるような二重脅迫型ランサムウェアの犯罪者が脅迫や盗んだデータを暴露する「リークサイト」があります。当社はこうしたダークウェブのマーケットサイトやフォーラム、リークサイトをパトロールしてサイバー攻撃者の動向を把握するとともに、日本企業や依頼を受けた企業等に関する情報が闇サイトに出ていないかチェックしています。最近ではシステムの一部に障害が発生し、キャッシュレス決済ができなくなった衣料販売事業者に関するデータや、化学品メーカーに関するデータを捕捉して通報しました。ランサムウェアの被害に遭ってしまった場合、リークサイトにデータが公開されるタイミングは攻撃者次第で、1年も経過してから公開されることもありますので、攻撃者の動向を踏まえてパトロールや調査を行っています。
ちなみに、ダークウェブへのアクセスは逆にランサムウェア攻撃やマルウェアを仕掛けられるリスクもあり大変危険です。そのため、専門知識が不足している人がダークウェブにアクセスすることは決してお勧めしません。
【セキュアイノベーション(Secure Innovation)】沖縄県那覇市に本社を置くサイバーセキュリティベンチャー。代表は栗田智明氏。2015(平成27)年10月設立。SOC運用とセキュリティ診断を柱に事業展開し、これら事業で培ったノウハウをもとに自社プロダクト製品「EISS(アイズ)」を開発し販売。またICTサポートとしてダークウェブ情報漏洩調査サービス(https://www.secure-iv.co.jp/darkwebservice)や脆弱性管理業務等を行っている。