ダークウェブは悪名高く、世界的に広く知られています。10年前なら、それほどではなかったでしょう。しかし、サイバー攻撃が加速し、世界中の極悪非道なアクターが違法な商品や情報の購入者とより迅速につながりを持とうとする中、ダークウェブという用語は顕著な形で表面化するようになりました。
テュレーン大学の説明によれば、ダークウェブは米国国防総省による匿名通信の手段として活用されていました。アクティビティを匿名に保つというその特色には依然変わりはありませんが、現在では、善良な市民ではなく、悪質なアクターを保護しているのが実情です。
ダークウェブは、違法薬物、身分証明書、情報(パスワードや口座番号など)、武器、その他多くの違法な形態の現物やデジタル情報の売り手が、国境を越えてこれらの商材を取引する場所です。サイバーセキュリティの観点から見ると、ダークウェブは、サービスとしてのランサムウェアキットやフィッシング手法が日々取引され、利用される場所といえます。
率直に言えば、特にサイバーセキュリティに関して、ダークウェブは、攻撃者が組織やビジネスを混乱させるために必要なツールを入手するための情報源となっています。したがって、世界中のセキュリティチームにとって、これまで以上に迅速な対応が最重要となっています。
ダークウェブにアクセスしようとするとき、その人は、認めると認めざるとにかかわらず、目に見えない一線を越えることになります。どちらにせよ、楽観的に、幸せな気持ちでダークウェブにアクセスする人はいません。悪事を働くために極悪非道なものを買うための場所だからです。
ダークウェブにアクセスする方法は数多くありますが、その中にはオニオンルーティングと呼ばれる手法もあります。オニオンルーティングは、多層暗号化を使用して、コンピュータネットワーク上の通信を匿名化します。これらの暗号化の層を、タマネギの皮に例えているのです。
ダークウェブへのアクセスに使用されるウェブブラウザは、Torネットワークと連携し、ユーザー情報を漏らすことなく、ダークウェブと通常のウェブサイトの両方を匿名で閲覧できるように設計されています。この「Torブラウザ」は、ダークウェブで使用されるオニオンルーティングの最も有名な実装です。
2023年のダークウェブは違法行為とほぼ同義であるため、説明は少し分かりにくくなるかもしれません。実際に、そこで行われているアクティビティの大部分は違法です。
しかし、信じられないかもしれませんが、ダークウェブにアクセスすること自体は違法ではありません。実際、評判の良いブランドや企業がダークウェブ経由でアクセスできるサイトを有することもあります。ダークウェブを閲覧し、そこで出会う可能性のある不特定多数と関わることは、特に個人データの開示が伴う場合は、危険となる可能性があります。
サイバー犯罪者はダークウェブで、系統的に攻撃を企てたり、違法な商品を販売したり、あるいはマルウェアやフィッシングキット、すぐに使えるエクスプロイットを共有しています。具体的には、悪意のある者がダークウェブを利用して、企業から窃盗した従業員の認証情報を売買する可能性などがあります。また、出口詐欺はダークウェブ上でも大規模なアクティビティとなっています。
出口詐欺は、市場管理者やベンダーが、市場撤退の際に買い手からできるだけ多くの資金を奪おうとする際に発生します。ダークウェブで販売される他の素材には、以下のようなものもあります。
ディープウェブとダークウェブの違いは、どちらかに存在する情報の「見つけやすさ」にあるとは必ずしも言えません。これらのオンライン情報リポジトリのいずれにも、GoogleやBingなどの検索エンジンでインデックス化されていないデータが含まれているからです。主な違いは、次の2つの点で説明できます。
ディープウェブとダークウェブの間には重複する側面があるため、これらの違いは必ずしも明確ではありません。インターネットに接続している人なら誰でも世界中の一般向けのウェブサイトにアクセスできるサーフェスウェブ(別名オープンウェブ)とは対照的に、ディープウェブとダークウェブは、見つけられることが必ずしも目的ではない情報の格納を目指したものです。したがって、ディープウェブやダークウェブファイルリポジトリの中には、善意によるものではないものも含まれる可能性が高くなります。
前述したように、これらの接続されたコンテンツリポジトリネットワークへのアクセスはいずれも違法ではありません。実際、脅威ハンティングを実施したり、自社やクライアントのネットワークを防御するサイバーセキュリティ組織は、これらの組織に頻繁にアクセスする必要があります。
例えば、ある脅威アクターが大手医療機関から盗んだデータを所有している場合、この機関の代表として対応を行うセキュリティ担当者は、その調査の大半をダークウェブで行うことになる可能性があります。ディープウェブとダークウェブから収集された脅威インテリジェンスは、ディープウェブやダークウェブなどの自社ネットワーク外からのテレメトリを分析する上で、脅威ハンティングチームに将来的に役立つ可能性があります。
昨今では、貴重な資産やデータを脅威アクターの攻撃から保護することがますます困難になっているように思われ、これは、医療、エネルギー、金融などの主要セクターで機密データを扱う企業組織に特に当てはまります。攻勢に出ることがこれまで以上に重要となっている理由はここにあります。
サイバー犯罪者はダークウェブで、系統的に攻撃を企てたり、違法な商品を販売したり、あるいはマルウェアやフィッシングキット、すぐに使えるエクスプロイトを共有したりしています。敵の背後に回り、攻撃者とその目的を早い段階で特定することで、適切な備えをすることができます。
適切な監視リソースを使用することで、脅威アクターとそのアクティビティを可視化できます。これには、制限的なチャネルにアクセスし、自動的に情報収集して、組織、従業員や顧客を標的とする攻撃を予測することを含みます。
メンバー限定のダークウェブフォーラムや脅威アクターのプライベートチャネルを監視します。こうすることで、攻撃の自動化、脆弱性スキャン、従業員や顧客を騙すために使用される新しいサイバー犯罪の戦術やツールを明らかにできます。加害者の立場に立ち、加害者がどのように自社を攻撃する可能性があるのか、さらにその具体的な攻撃の手法を理解することが重要です。
敵を継続的に監視し、脅威アクターと連携できるダークウェブ監視ソリューションを使用することが重要です。こうしたソリューションは、これらのアクティビティからデータサンプルを収集し、動機を明らかにし、よりスマートなサイバーセキュリティワークフローの展開を支援できるはずです。