ダークウェブとは?
ダークウェブは悪名高く、世界的に広く知られています。10年前なら、それほどではなかったでしょう。しかし、サイバー攻撃が加速し、世界中の極悪非道なアクターが違法な商品や情報の購入者とより迅速につながりを持とうとする中、ダークウェブという用語は顕著な形で表面化するようになりました。
ダークウェブは、匿名でコミュニケーションをとる手段として米国国防総省によって利用されました。 活動を匿名に保つというその才能は残っていますが、今では特定の国の無実の市民ではなく、悪意のあるアクターを保護しています。
ダークウェブは、違法薬物、身分証明書、情報(パスワードや口座番号など)、武器、その他多くの違法な形態の現物やデジタル情報の売り手が、国境を越えてこれらの商材を取引する場所です。サイバーセキュリティの観点から見ると、ダークウェブは、サービスとしてのランサムウェアキットやフィッシング手法が日々取引され、利用される場所といえます。
率直に言えば、特にサイバーセキュリティに関して、ダークウェブは、攻撃者が組織やビジネスを混乱させるために必要なツールを入手するための情報源となっています。したがって、世界中のセキュリティチームにとって、これまで以上に迅速な対応が最重要となっています。
ダークネットの種類
ダークウェブにアクセスできるダークネットの種類は、数多くあります。本来、ダークネットとはダークウェブ上のコンテンツにアクセスする手段を指します。利用可能なダークネットの一般的な例を見てみましょう。
- Tor(The Onion Router)- 匿名通信を可能にするために設計されたオープンソースのツールセットです。Torセッションは、ネットワークの追跡・分析ツールから発信元を隠す何千ものリレーからなるボランティアネットワークを介してトラフィックをリダイレクトします。
- Zeronet - IPアドレスではなくビットコインの秘密鍵を活用したピアツーピアユーザーの分散型ネットワークです。秘密鍵を使用すると変更を加えられ、その変更はネットワーク全体に伝播されます。
- Tribler - 匿名のピアツーピア接続を可能にするオープンソースのBitTorrentクライアントです。
- Invisible Internet Project - 50,000台以上のボランティアコンピュータを使用する匿名のピアツーピアソリューション。Invisible Internet Projectでは利用可能なルートの数が多いため、監視や追跡はほとんどありません。
- Riffle- MITで開発されたネットワーク匿名化ツールで、TORの機能に関する問題に対処するためのものです。通常、Torベースのネットワークよりもはるかに高速です。
- GNUnet- 分散型のピアツーピアネットワークフレームワークで、ほとんどの一般的な接続タイプとプロトコル(WiFi、Bluetooth、HTTP/S、TCP、UDP)で動作します。これにより、通信、暗号化、ピア検出が可能になります。
ダークウェブにアクセスする方法
ダークウェブにアクセスしようとするとき、その人は、認めると認めざるとにかかわらず、目に見えない一線を越えることになります。どちらにせよ、楽観的な気持ちでダークウェブにアクセスする人はいません。
例えば、Torは多層暗号化を使用して、コンピュータネットワーク上の通信を匿名化します。これらの暗号化の層を、タマネギの皮に例えているのです。
ダークウェブへのアクセスは違法ですか?
ダークウェブは違法行為とほぼ同義であるため、説明は少し分かりにくくなるかもしれません。実際に、そこで行われているアクティビティの大部分は違法です。
しかし、信じられないかもしれませんが、ダークウェブにアクセスすること自体は違法ではありません。実際、評判の良いブランドや企業がダークウェブ経由でアクセスできるサイトを有することもあります。ダークウェブを閲覧し、そこで出会う可能性のある不特定多数と関わることは、特に個人データの開示が伴う場合は、危険となる可能性があります。
ダークウェブの用途
サイバー犯罪者はダークウェブで、系統的に攻撃を企てたり、違法な商品を販売したり、あるいはマルウェアやフィッシングキット、すぐに使えるエクスプロイットを共有しています。しかし、ダークウェブは犯罪行為のためだけのものだと思っている人にとっては大きな驚きかもしれませんが、合法的な目的にも利用される可能性があります。両方のユースケースを見てみましょう。
ダークウェブの正当な使用
世界には権威主義的な政府がたくさんあり、そのような政権下で生活している人々は匿名でコミュニケーションをとる必要があります。実際、このような状況にある人にとっては、仮想プライベートネットワーク(VPN)経由でダークウェブを使用する方がはるかに安全になることがよくあります。
政府機関、一部の新聞社、技術組織の多くが匿名化ネットワークであるTorネットワークを採用しており、ダークウェブとのやり取りにおいて身元を匿名に保っています。その理由としては、プライバシー保護への取り組みを示すためや、匿名での情報提供を可能にするためなどが考えられます。例えば、Guardian紙やCIAも匿名投稿プラットフォームであるSecureDropでTorを使用します。これにより、匿名の情報提供者から安全に情報を受け取ることができます。
Torなどのダークウェブプロトコルへのアクセスと使用は、違法ではありません。こうしたプロトコルは、違法行為を行う多くの悪質業者に選ばれるプラットフォームとして採用されているだけです。
ダークウェブの悪質な使用
ユーザーが正当な理由で匿名性を希望し、企業が保護を提供するとします。そうすると、実際に非公開データに不正アクセスしようとするサイバー攻撃犯罪者にも同様の匿名性を提供することになります。オープンウェブで行われている電子商取引に比べてトラフィック量は少ないですが、ダークウェブが攻撃者や違法な電子商取引活動の温床であることは否定できません。
ダークウェブの闇市場で取引される違法コンテンツやダークウェブ上の違法行為は、法執行機関やインターネットサービスプロバイダー(ISP)が対策に多大な時間を費やす幅広い活動に広がっています。悪質な使用例には次のようなものがあります。
- ダークウェブマーケットプレイスでの違法商品の販売:レクリエーショナルドラッグ、違法薬物、ヘルスケア医薬品(一部の法域では合法なものの、すべての法域では合法ではない医薬品)、銃器、従来の商取引チャネルで規制されているその他の品目
- サイバー攻撃の解決策と情報:機密情報(社会保障番号、銀行口座詳細、クレジットカード番号など)や、ビジネスシステムや個人のソーシャルメディアアカウントの認証資格情報など、その他の個人を特定できる情報(PII)
- 政治活動:ダークウェブで広告を出す悪質業者を利用し、公表されたくない活動を行う政府
- 一般的な犯罪活動:暗号通貨取引所を介したマネーロンダリングや、Netflixなどの人気ウェブエンターテインメント企業のように一見ありふれたサービスのために盗まれた認証情報の販売などのサイバー犯罪活動
これらの違法行為の多くは、売り手と買い手の匿名性を保つために、取引にビットコインやその他の暗号通貨を使用しており、FBI、CIA、その他国際的なパートナー組織などの法執行機関が違法行為を妨害することが難しくなります。しかし、Silk Roadのようなダークウェブネットワークの追跡と混乱が示すように、それは不可能ではありません。
ダークウェブで販売される他の素材には、以下のようなものもあります。
- 財務情報:銀行口座、資産管理情報、投資、個人や企業に関連する、その他の個人的な金銭的情報へのアクセスを詳細に示すデータです。
- 政府機密:国家防衛または活発な軍事/サイバー諜報活動に関連するあらゆる情報が含まれます。
- 企業秘密:企業が業界内での競争優位性を維持する方法に関する情報が含まれます。
- 盗難を助長する物理的素材:POSプラットフォームやクレジットカードデータを盗む「スキミング」デバイスなどが含まれます。
ディープウェブとダークウェブの違いは何ですか?
ディープウェブとダークウェブの違いは、どちらかに存在する情報の「見つけやすさ」にあるとは必ずしも言えません。これらのオンライン情報リポジトリのいずれにも、GoogleやBingなどの検索エンジンでインデックス化されていないデータが含まれているからです。主な違いは、次の2つの点で説明できます。
- コンテンツの合法性:ダークウェブで入手可能な主な素材は、上述のような種類の違法コンテンツです。ダークサイトへのアクセスに適切なブラウザを持っていれば、悪意のある攻撃者が何の障害もなく悪意のあるコンテンツにアクセスでき、その気になれば購入できる可能性があります。
- コンテンツのアクセシビリティ:ダークウェブとディープウェブの違いの一つに、アクセシビリティがあります。ディープウェブ上のコンテンツは通常、悪質なものではありませんが、一般にゲートが設けられています。この例には、プライベート/暗号化ファイル、有料顧客または加入者のみが利用できるコンテンツ、企業イントラネットなどの内部ネットワークが含まれます。
ディープウェブとダークウェブの間には重複する側面があるため、これらの違いは必ずしも明確ではありません。インターネットに接続している人なら誰でも世界中の一般向けのウェブサイトにアクセスできるサーフェスウェブ(別名オープンウェブ)とは対照的に、ディープウェブとダークウェブは、見つけられることが必ずしも目的ではない情報の格納を目指したものです。したがって、ディープウェブやダークウェブファイルリポジトリの中には、善意によるものではないものも含まれる可能性が高くなります。
前述したように、これらの接続されたコンテンツリポジトリネットワークへのアクセスはいずれも違法ではありません。実際、脅威ハンティングを実施したり、自社やクライアントのネットワークを防御するサイバーセキュリティ組織は、これらの組織に頻繁にアクセスする必要があります。
例えば、ある脅威アクターが大手医療機関から盗んだデータを所有している場合、この機関の代表として対応を行うセキュリティ担当者は、その調査の大半をダークウェブで行うことになる可能性があります。ディープウェブとダークウェブから収集された脅威インテリジェンスは、ディープウェブやダークウェブなどの自社ネットワーク外からのテレメトリを分析する上で、脅威ハンティングチームに将来的に役立つ可能性があります。
ダークウェブからデータを保護する方法
昨今では、貴重な資産やデータを脅威アクターの攻撃から保護することがますます困難になっているように思われ、これは、医療、エネルギー、金融などの主要セクターで機密データを扱う企業組織に特に当てはまります。攻勢に出ることがこれまで以上に重要となっている理由はここにあります。
ハッカーコミュニティに対する可視性
サイバー犯罪者はダークウェブで、系統的に攻撃を企てたり、違法な商品を販売したり、あるいはマルウェアやフィッシングキット、すぐに使えるエクスプロイトを共有したりしています。敵の背後に回り、攻撃者とその目的を早い段階で特定することで、適切な備えをすることができます。
標的型攻撃の早期検知
適切な監視リソースを使用することで、脅威アクターとそのアクティビティを可視化できます。これには、制限的なチャネルにアクセスし、自動的に情報収集して、組織、従業員や顧客を標的とする攻撃を予測することを含みます。
新しいハッキングツールやランサムウェアキットの発見
メンバー限定のダークウェブフォーラムや脅威アクターのプライベートチャネルを監視します。こうすることで、攻撃の自動化、脆弱性スキャン、従業員や顧客を騙すために使用される新しいサイバー犯罪の戦術やツールを明らかにできます。加害者の立場に立ち、加害者がどのように自社を攻撃する可能性があるのか、さらにその具体的な攻撃の手法を理解することが重要です。
敵を理解し、対峙する
敵を継続的に監視し、脅威アクターと連携できるダークウェブ監視ソリューションを使用することが重要です。こうしたソリューションは、これらのアクティビティからデータサンプルを収集し、動機を明らかにし、よりスマートなサイバーセキュリティワークフローの展開を支援できるはずです。