危険度を増したダークウェブ　～企業との接点を断つ～

ビジネス社会を浸食する闇市場

ダークウェブは、GoogleやYahooのような一般的な検索ページからは、たどり着けないウェブサイトです。通常のインターネット通信とは違うプロトコル（通信方式）で動作し、それに合わせた専用ブラウザがなければ、サイトの閲覧や書き込みはできません。

ダークウェブの特徴は匿名性です。通信時は何台ものノード（中継サーバー）を経由しますが、経路は通信の度にランダムに設定され、それぞれ別の暗号鍵を用いてデータを暗号化。各ノードからは次にデータを渡すノードのアドレスなど、ごく限られた範囲の情報しか見えません。ランダムな経路と幾重もの暗号化を施すことで、サイトから発信元をたどることは、ほぼ不可能とされています。

ダークウェブに使われる代表的な通信方式として、「Tor：The Onion Router（トーア）」が知られています。Torはもともと軍事的な用途で開発され、その後、自由なコミュニケーションに制約がある環境下における通信、例えば、反政府側の活動家やジャーナリストなどの連絡手段、あるいはプライバシーを確実に保護したいときの通信などに活用されてきました。

匿名性の保証という特性は、悪事にも好都合な点は否めません。ダークウェブとTor自体は、違法なものではないのですが、今では犯罪の温床として知られるようになってしまいました。そして悪性が強いダークウェブは年々勢いを増しており、一般企業も無視できない存在になってきたのです。

何でも買える“闇市場のAmazon”

ダークウェブでは、違法、もしくは違法性が高いさまざまな商材がやり取りされています。偽造パスポートや偽造免許証、不正に入手したIDカード、クレジットカード、違法ドラッグ、著作権侵害やアダルトなどの違法コンテンツ、そして銃器など、現実世界の闇市場で取引されるモノの多くは、ここで入手できると考えて良いでしょう。

今のダークウェブの目玉商品は、より多くの買い手が付くデジタルデータです。企業が持つ顧客情報、従業員名簿、メールアドレスなどの個人情報をはじめ、クレジットカード情報、有料サイトのIDとパスワード、OSやアプリケーションのアクティベート（有効化）コード、企業情報システムの管理者ID、脆弱性を残すサーバーのリストなど、その種類は多岐に渡ります。

カード情報が入手できればECサイトでの決済は可能

これらはすべて、換金性が高い情報であることは言うまでもありません。ECサイトでそのまま決済できるクレジットカード情報は、個人の財産にも等しいものです。IDとパスワード（PW）のリストは、同じPWを使い回す人が多い現状で、パスワードリスト攻撃（同じID・PWで複数サイトへのログインを試みる手口）に使われます。企業から流出した顧客名簿が、架空請求の被害につながったケースも少なくありません。

違法ドラッグや銃器が売買されるダークウェブは、一般企業と市民には無縁の存在ですが、デジタル情報のブラックマーケットという側面は、軽視してはならないのです。

攻撃のインフラとして機能が整う

社会がダークウェブへの警戒を高めている理由として、この場が単なるデジタル情報の売買だけでなく、サイバー犯罪のインフラ化している点も挙げられます。初期のダークウェブは、経験と専門知識に欠ける者は、この場での情報の適切な選別、売買交渉、そして換金は困難とされていましたが、今は進化した“闇市場のAmazon”です。

例えば、個人情報やカード情報は、国、価格、件数などの条件を付けた検索ができるようになっています。出品者に対して“☆”の数で評価する制度もあり、不良品を出すような業者は淘汰され、活動の継続はできません。利用者が行動に迷ったときのヘルプボタン、FAQ、チャットを使うガイダンスもあり、ユーザーサポートの体制も整備されているようです。

ダークウェブでの通貨は、匿名性が高いビットコインに代表される暗号資産が主に使われますが、暗号資産の扱いに不慣れな人のために、米国を中心に世界で3億人以上が利用するオンライン決済サービスの「PayPal」が使えるケースもあります。さすがにPayPal事務局も取り締まっているようですが、一人ひとりの素性は把握しきれず、アカウントの設定と消去を繰り返す犯罪者を追いきれてはいません。

もう一つのリスクは攻撃の大衆化

一般企業のリスクとして、攻撃手法の多様化、日常化という側面も軽視できません。ダークウェブの商材は、企業の顧客リストのような換金性が高いデータの他に、マルウェア作成キット、マルウェア本体、ゼロデイ攻撃に直結する脆弱性情報、ハッキングの手順書など、専門知識がない者が攻撃を仕掛けるための情報とツールがそろっています。

“攻撃代行サービス”の存在も確認されています。例えば、特定のサーバーにデータを一斉に送り付け、サイト運用を妨害するDDoS攻撃。ダークウェブに出品されている商材の一例は、攻撃に必要なクラウドのリソースを、台数や時間あたりの課金でレンタルできるものです。以前、この種のサービスを利用した日本の高校生が書類送検されました。

DDoS攻撃のイメージ

確かな裏付けはないのですが、ここ数年、ランサムウェアが急増した理由の一つに、攻撃に必要なマルウェアやノウハウを供給するダークウェブの存在が指摘されています。昨今の状況を考えると、その可能性は高いと見ていいでしょう。

一般企業にとって、ダークウェブは機密情報の搾取と売買につながる場としてだけでなく、サイバー攻撃のインフラとしても、警戒すべき存在になっているのです。

不用意にダークウェブに近づいてはならない

ダークウェブ自体は違法な存在ではありません。Torも本来は、自由なコミュニケーションのためのツールで、専用ブラウザもプロジェクトの公式サイトからダウンロードできます。ダークウェブへの入口は、通常のサイトにも何らかのヒントが残されているケースがあり、米国ではSNSに堂々とバナー広告を出していた例さえあったとされています。

しかし、ダークウェブの存在が見えたとしても近づくべきではありません。実社会の勤務先や家の近くで、“その筋”らしい事務所があっても、好奇心から覗いてみるようなことは決してしないでしょう。インターネットの空間でも同じです。セキュリティの専門家でも、何らかの理由でここに近づく際は、細心の注意をもって接しています。

一般ユーザーがダークウェブへのリンクを不用意にクリックすれば、不正ソフトを取り込むリスクがあります。またTorの通信は、最終ノードとサイト間だけは暗号化されておらず、100％の匿名性、安全性は担保されません。サイトを運営する元締めが来訪者の属性を割り出し、攻撃対象になってしまう可能性もゼロではないでしょう。

法の執行機関もダークウェブを野放しにするはずはありません。日本の警察も監視しており、特に悪質なサイトは摘発されています。閲覧しているサイトが犯罪の多発する起点になっていたとしたら、“興味本位で見ていただけ”という言い訳は通用しないでしょう。

ダークウェブと対峙する

ダークウェブに自社に関連する情報があるかどうか確かめたいとしても、不用意に近づくことは危険な行為です。しかし、これだけ危険度を増している存在に対して、まったく無策というわけにもいきません。

間接的な対策になるとしても、ダークウェブに対して企業が起こすべき行動はあります。

まず基本的なセキュリティ対策の点検。サーバーの管理者ID、顧客リストなど、闇市場が狙う情報をガードする体制を見直すこと。ダークウェブの住人も凝視する脆弱性情報にも留意し、該当するOSやミドルウエアなどがあれば、できるだけ早めに対処することも重要です。

以前、改造したTorのブラウザを偽のサイトからダウンロードさせ、PCに保存されたビットコインのデータを盗むマルウェアも発見されました。外部から来るメール、ソフトウェアには万全な注意を払うという、基本中の基本は常に実践してください。

各サイトを監視するイメージ　（darktracer）

自社に関する情報がダークウェブに流出していないか定期的に監視しておくことも重要です。ダークウェブに流出してしまったら、その情報を取り戻すことはできません。しかし、流出した情報が何か確認すると共に流出経路を特定し関連部署に連絡、アカウント情報が含まれていたら、いち早くそれらのID、パスワードを変更し、再発防止対策を実施するといった対応は可能です。これまで見えなかった漏えい情報を確認し、経路をふさぐ迅速な行動により、被害を最小限に止めることはできるのです。

皆さまの組織においても、ダークウェブの存在を前提にした安全対策を進めるようにしてください。

無料アカウントを登録して試してみましょう！

ステルスモールは申し込み後すぐに試用が可能です。