データ漏洩やランサムウェア攻撃の後、搾取された顧客情報がダークウェブに流出したという話を頻繁に耳にします。 搾取された情報の流出は、明らかに企業や個人の両方に深刻な影響を与えますが、私たちにとって、ダークウェブはその響きと同じくらいミステリアスです。ダークウェブとは一体何なのでしょうか?そこでは何が起こっているのでしょうか?エフセキュアの Laura Kankaala(ローラー・カンカーラ)と Elias Koivula(エリアス・コイヴラ)がサイバーセキュリティサウナのEpisode 57に参加いただき、ダークウェブについて解説してくれました。
Janne: サイバーセキュリティサウナにようこそ。
Laura: お招きいただきありがとうございます。
Elias: こんにちは。
まずは基本的なところから始めましょう。ダークウェブとは何ですか?そこへはどうやってアクセスするのでしょうか?
Laura: 基本的にダークウェブそのものは、私たちが馴染んでいるネットワークインフラ上にあるものに過ぎません。ただ、通常のブラウザではアクセスできません。そこにアクセスするには、追加のプラグインや特殊なブラウザが必要になります。
ダークウェブ自体は、ディープウェブと呼ばれるものの一部ですが、この用語は話す相手によって意味合いが変わることがあります。このディープウェブの一部は、インターネットの中で、簡単には閲覧できない部分を指しています。Googleなどの検索エンジンを使っても見つけるのは困難です。
ダークウェブにアクセスするには、特別なツールを使用する必要が有ります。たとえば、Torブラウザや、ブラウザの特別なプラグインなどです。
Laura Kankaala, Elias Koivula
わかりました。簡単に言えば、クリアウェブは、皆が知っているインターネットの一部であり、ディープウェブは、同じインフラを使用しているものの、一般的なインターネットの一部ではなく、Googleによってインデックス化されておらず、簡単に見つけることができない部分のことですね。そして、ダークウェブは隠蔽するために特別な手順を踏んでおり、異なるプロトコルやアクセス手段を使用しているということでしょうか?
Elias: そのとおりです。よく氷山にたとえられます。氷山をインターネット全体、または接続されたウェブと考えます。そして、その氷山の一角が表層ウェブ/クリアウェブになります。そして、残りの大半の部分がディープウェブ/ダークウェブです。
この比喩はかなり的を得ています。表層ウェブはウェブサイト全体の約4~11%にすぎないとの推測があるからです。世界には数十億ものサイトがあると思われますが、その大部分は、ログインを行わないと閲覧できないページのため、ディープウェブになります。基本的には、政府機関のサイト、企業のサイト、ユーザ資格情報やその他のアクセス手段を必要とするサイトです。それがインターネットの最も大きな部分を占めており、ダークウェブ自体はそのごく一部に過ぎません。
なるほど、ディープウェブとは、単に資格情報によるログインの背後にあるものということでしょうか?
Laura: そうとも言えます。あるいは、たとえば企業のイントラネットなど、公衆インターネットに直接公開されていないものです。したがって、決してミステリアスなものではありません。ログインページだけならアクセスできますが、必要なアクセス権を持っていない限り、その後ろに控えている情報は見ることができません。
ダークウェブにアクセスするために使用するものの1つとして、Tor、すなわちオニオンルーティングのブラウザとシステムのことを挙げられましたね。それは何なのですか?それで匿名化できるのですか?
Elias: Torを使っても完全に匿名になるわけではありません。疑似的な匿名です。そしてこれは、完全に匿名のアイデンティティを確保するためのOPSECインフラストラクチャ全体の1ステップに過ぎません。
必ずしも完全な匿名ではないという考え方を理解するためには、Torネットワークの仕組みを理解するとよいでしょう。Tor回路が構築されて、Torを起動すると、接続先の入口ノードがたくさん表示されます。
そのうちの1つを呼び出すのですね。
Elias: その通りです。コンピュータがそのうちの1つを呼び出します。そして、その最初のノードが、別のノード(中継ノードと呼ばれていたと思います)にコンタクトします。さらに、中継ノードは出口ノードにコンタクトします。これらのノードは別々の場所にあります。おそらく世界中にあるはずです。これらのノードはすべて、暗号化の層を追加します。つまり、最初のノードが暗号化の層を追加し、第2のノードがさらに暗号化の層を追加するのです。
そのため、データを復号化してアクセスしているノードは、そのデータが最初にどこから来たのかを正確に知ることができず、元のIPが何かわかりません。3番目の出口ノードは、ターゲットのウェブサイトに接続するノードです。出口ノードは、ターゲットのIPアドレス情報を持っています。
出口ノードにアクセスできれば、データを特定する方法があります。特に、使用しているターゲットのウェブサイトが暗号化されていない場合は可能になります。つまり、TLS (トランスポート・レイヤー・セキュリティ)ではなく、暗号化されていない平文のプロトコルを使ってサイトにアクセスしているとします。OPSECが十分でない状態でEメールを送信して、自宅のアドレスに何かを注文する場合、または自分のEメールアドレスでユーザを作成する場合、ターゲットのウェブサイトがTLSを使用していなければ、すべてのデータは平文で見ることができます。
Torを完全匿名で利用するには様々な方法がありますが、単にTorブラウザをダウンロードしたり、Torプラグインを使用するようにブラウザを設定するだけでは足りません。
Laura: Eliasの考えに完全に同意します。TorネットワークやTorブラウザは誰もが利用できる技術です。Torを使いたい人は、Torブラウザをダウンロードすればよいのです。
しかし現実的には、たとえインターネットの匿名利用をサポートする技術があっても、それは単なる技術に過ぎません。そして、私たちの生活は様々な形でインターネットに流れ込んでいます。たとえば、Eliasが言ったように、あなたが本名でアプリケーションやウェブサイトに登録したり、Torネットワークの外でも中でも、隠れたサービスでも同じEメールを使っていれば、それらを使ってあなたに結びつけることができます。
技術的な脆弱性以外にも、犯罪者がオンラインで不正行為をする際に利用するアプリケーションがあります。例えばビットコインのアドレスなどは、オンライン上のID情報の全体像と結びついており、Torブラウザを介して特定の秘匿サービスを利用するよりも露出度が高いので、隠すことが難しくなります。
わかりました。複雑で、しかも怪しい雰囲気ですね。ダークウェブはどこから来たのでしょうか?なぜTorのようなものがあるのでしょう?
Elias: 元々は、通常のインターネットと同様に、米軍の副産物だったと思います。私が聞いた話では、最初はスパイが機密情報を話し合うための仕組みとして使われていたそうです。
もちろん、なぜそれが公になったのかという疑問があります。スパイが関連した情報を群衆の中に混ぜるために全ての人に公開されたのです。
人混みに紛れさせて目立たなくするのですね。
Elias: まさにそうです。
Laura: メディアは、ダークウェブが犯罪者の巣窟で、悪いことばかり行われているような、いかがわしい印象を与えていると思います。実際には、あらゆる種類のウェブサイトがあり、正直なところ、私自身が初めてウェブサイトを作り始めた2000年代初頭のような、インターネットの黎明期を思い出させるようなウェブサイトもあります。自作のウェブサイトがたくさんあるのです。
しかし、個人的な趣味などの様々な種類のディスカッションフォーラムやウェブサイトがあることは事実で、当然ながら、節度や管理が欠けているため、潜在的に極めて有害なコンテンツを提供する隠れサービスや、ドラッグや銃の売買などの違法行為をするマーケットプレイスも数多くあります。
このように、様々な種類のものがありますが、これらの違法サービスの一部はクリアウェブでも行われています。その中でも特に過激なものがダークウェブで行われているのでしょう。
Elias: そうです。本来、Torには何の悪意もありません。Torは、匿名化を支援するための技術です。また、プライベートサイトへのアクセスも支援します。
Torが非常に役立つケースは、たとえば、権威主義的な政府が国民の会話を傍受したいと考えているような場合です。Torは、そのような状況において、議論したり、情報のデータベース全体にアクセスしたりするのに便利なツールです。
なぜなら、Torは通常のウェブページにもアクセスできるからです。日常的に見るページにアクセスするためだけにTorを使う人もいます。.onionドメインのページは、ワシントンポストやFBIのほか、Lauraが言ったように人気のあるウェブサイトに存在しています。
Laura: Torは、言論の自由や報道の自由に関して、明らかに重要な役割を担っていると思います。インターネットや情報へのアクセスが制限されている場合、Torはインターネットへの大変優れたゲートウェイとなります。その人がどこに向かって、どんなウェブサイトを閲覧しているのかを把握するのは極めて困難になるだけでなく、同時にウェブサイト自体からその人の匿名性を隠すことができます。
わかりました。まず最初に思いつくのはドラッグ市場と違法な銃の購入場所です。しかし、それはほんの一部にすぎないと言うことですね。他には何がありますか? 極悪非道なハッカーフォーラムやサイバー犯罪サービスの話を聞いたことがあります。
Laura: ちろんそういう場所もありますし、それらが同じマーケットプレイスにあったり、別のマーケットプレイスにあったりします。
たとえば、漏洩したデータやエクスプロイトコードなども販売されています。また、サービスを購入することもできます。たとえば、フィッシングテンプレートを作成したり、フィッシングを実行してくれるサービスです。結局は、何かを求める人がいて、その要求に応える人がいるということです。
しかし、ハッカーフォーラムやエクスプロイトコードの販売に関して言うと、ゼロデイではなく、もっと一般的なエクスプロイトコードであれば、ダークウェブやTorブラウザを使って隠れたサービスにアクセスして行われる方が自然でしょう。しかし、クリアネットや、ログインする必要があるクリア/ディープネットでも利用できるハッカーフォーラムも数多くあります。中にはログイン不要のサイトもあり、流出データや、利用可能なエクスプロイトコード、カーディングする方法の例など、直ぐ利益を生む様々な種類の犯罪に関する情報が含まれています。
Elias: そういったハッキングフォーラムとマーケットプレイスは分けて考えましょう。そのようなマーケットプレイスは、ドラッグなどの違法なものを販売する場所に過ぎません。ほとんどがドラッグです。殺し屋を雇うなどという物騒な話もありますが、それはあくまでも伝説です。これらのマーケットプレイスは、主に違法ドラッグや、ランサムウェアビルダーなどのソフトウェアに関連した素材を扱う場所に過ぎません。
そこでの売り物は品質が相当悪いです。誰かが手っ取り早く金儲けをしようと企んでいるので、古いものばかりです。新しいものや、興味深いものである必要はないのです。
そして、Lauraが言っていたハッカーフォーラムについてですが、私の経験では、ダークウェブのハッカーフォーラムは、ほとんどの場合、サービスとしてのサイバー犯罪や他の違法なものについて真剣な会話が交わされています。
Laura: そのようなマーケットプレイスでは、汎用性が高いコードが主な話題になっていると思います。べつに革新的ものではありません。通常は、かなり古いもので、良く知られたスクリプトを再パッケージ化して販売しているようなものです。当然、ゼロデイを販売している人やブローカーもいますが、そこは超高級クラブです。ネットワーク上の普通の人がいつでも利用できるようなクラブではありません。
ゼロデイエクスプロイトについて言えば、一般消費者が簡単に手を出せるような価格ではありません。たとえ数百ドルでも喜んで支払うようなエクスプロイトを探している人向けです。
購入するものがすべて宣伝通りではないというような、詐欺行為も横行しているでしょうね。
Laura: 一般的に言って、これらのマーケットプレイス、特に情報が共有され、人々が議論しているフォーラムに関しては、評判をチェックできることが多いです。特定のコードや、誰かが提供しているツールや、単なる情報のダンプなどに関する議論での評判です。
ドラッグの売買に関して言えば、多くの売人は自分の評判や、顧客に確実にサービスを提供できているかどうかを気にしています。シルクロードという名の闇サイトが閉鎖されたとき、多くのセラーと、その時点で販売していた商品が調査されましたが、数多くの商品が良質なものであることがわかりましたので、期待に応えていたのだと考えられます。オンラインで粗悪な品物ばかり売っていれば、いずれ商売が立ち行かなくなるでしょう。
Elias: 評判に関する鋭い指摘ですね。奇妙に聞こえるかもしれませんが、これらの匿名のフォーラムでは、ユーザーは自身のユーザネームを使っています。特にダークウェブのハッカーフォーラムでは、無料のソフトウェアさえ提供しています。ユーザーが提供する無料の資格情報のダンプが見つかることもあります。なぜでしょうか?それらの背後にある本当の動機を読み解くのはとても難しいのですが、私はそれが名声を得るためだと信じています。
このような低レベルのハッカーフォーラムにおいて、ユーザー名が有名になり、裏社会での名声が高まれば、そこを卒業して、もっと高レベルのフォーラムに参加できるようになることがよくあります。そういう意味で、この社会では評判がすべてなのです。
Laura: そのとおりです。私がこれらのフォーラムで最も興味をそそられたのは、このような信頼できないような環境下で、どのように信頼が築かれていくのかということです。Janneも、そこで何かを買ったらどんな物が手に入るかわからないと懐疑的でしたが、複雑な信頼関係があるのでしょうね。このユーザーネームを使っている人は非常に評判が良いと皆が信じているので、信頼するのでしょう。
Elias: 信頼についてもそうですが、通常これらのマーケットプレイスの寿命は長くは有りません。当局を介して閉鎖されたり、時には出口詐欺(持ち逃げ)が行われていたります。支払いはエスクローを介して行われることが多いので、サイトは一度に大量のビットコインや暗号通貨を保有することができます。そのため、ある日突然、サイト運営者はビットコインごと逃げ去ってしまうのです。これが現実です。
これらのマーケットプレイスの一部が警察の管理下にあることも事実です。警察はマーケットプレイスのオフィス開設当初から管理しますが、そのことを誰にも知らせません。そして、突然そのことを公表して、ドラッグ等の購入客と共に容疑を立証します。したがってしたがって、サイトが完全に合法であるかはその時まで決してわからないのです。
Laura: そうです。繰り返しになりますが、特に隠蔽されたサービスに関しては、特定の種類のルーティングプロトコルを介して利用可能なウェブサイトであるため、脆弱性が存在する可能性があります。あるいは、OPSEC上の間違いを犯している可能性もあります。誰かが情報を露出し過ぎていたり、ユーザーを追跡から保護する能力が劣っていたりするかもしれません。要するに、それらは誰かのコンピュータや、どこかのサーバーと呼ばれるコンピュータ上で動作しているウェブサイトに過ぎないのです。
そんな中でも、ほんの少しだけ信頼できる部分はあるとおっしゃりたいのですね。さて、私は企業からダークウェブ監視サービスについて問い合わせをよく受けます。 このサービスの前提は、犯罪者グループが存在していて、「この会社を攻撃してから、その会社を攻撃する」などと話し合って陰謀を企てていることです。現実はどうなのでしょうか?
Elias: 低レベルのハッカーフォーラムでは、そのような議論や計画を立てることは有り得ないです。仮に計画しているグループがいるとすれば、おそらく、Jabberのような一般的な通信手段を介して、秘密裏に行われているでしょう。少なくとも、簡単な資格情報でアクセスできる低レベルのフォーラムでは、誰でも参加できるオープントークはありません。
Laura: そうです。企業に対して公然と陰謀を企てることは、あまり意味のないことでしょう。なぜなら、その目的や行動に対して多くの注目を集めることになるからです。
よく見かけるのは、必ずしも誰かを名指しして誹謗中傷するのではなく、誰かのFacebookやInstagram、Snapchatなどのアカウントをハッキングして、ヌード写真などにアクセスして売る犯罪です。
特定の種類のサービスが攻撃の標的となりますが、必ずしもサービスそのものではなく、サービスのアカウントやユーザアカウントの中で、特に活動に興味があるものが標的になります。
しかし、ここで重要になるのは「既知」という言葉です。スキャンできるのは自分が知っているサイトやアクセスできるサイトなどに限られるとすると、ダークネット全体をスキャンすることは無理ですね。
Elias: それは大変難しいです。サイトを構築したり、ダークウェブにアクセスするスクレーパーやクローラーを構築したりする方法はありますが、CAPTCHAに対処するのは非常に難しく、その処理をプログラミングするのは大変なことです。
つまり、これらのサイトの資格情報をすべて持っているか、セキュリティを侵害する方法を知っている必要があるということですね。
Laura: Torのウェブサイトを保護するためのCAPTCHAがあまりにも多く実装されているので、それをプログラムで突破するのは現実的ではありません。たとえば、Google Dorkingを利用してクリアネットのフォーラムをチェックするなど、多くの手作業を組み合わる必要があると思います。クリアネットにあるディープウェブ側に行くのです。そこでどのような議論が交わされているのか、どのようなデータダンプが共有されているのかを確認することができます。共有されているデータダンプの名前が直接表示されることもあります。
そのため、企業が自社で目を光らせたり、あるいは外部の業者に委託して、この問題に関するある種の脅威インテリジェンスを実行することは非常に簡単です。
たとえば、自社の情報がダークネットでオークションにかけられているのを見つけたとします。その時点で企業ができることはありますか?
Laura: 一度データが侵害されると、それを取り戻すすべはなく、永遠に公開される可能性があります。漏洩したデータのすべてが、低レベルのハッカーフォーラムやマーケットプレイスで販売または共有されるわけではないので、いずれの場合も完全な可視性を得ることはできません。
自社のデータベースが販売されていることがわかった場合、データの性質によっては (個人を特定できる情報など)、GDPR関連の規制対象となって、ユーザーへの通知が必要になる可能性があります。
Elisa:
その通りですね。データ侵害に遭った場合は、企業としてオープンであることが重要です。また、どのようなデータが窃取されたのかを調べ、自社システムが侵害されたかどうかを判断することも重要です。今でもアクセスできるバックドアがあるのか?それとも、いわば合法的な手段でデータがスクレイプされただけなのか?
これらの点を把握しておけば、優れた対応計画を立案することができます。もしネットワーク構造が侵害されている場合は、全く別の話になります。
そうですか。個人の場合はどうですか? サイバー犯罪の最大の脅威は、ID窃盗だと思います。その中で、ダークウェブはどのような役割を果たしているのでしょうか?
Laura: これらのマーケットプレイスの多く、特にダークウェブ側では、パスポートや身分証明書など、個人情報の窃取に利用される可能性のある特定の身分証明書を購入できる可能性があります。当然のことながら、クレジットカード番号やCVV番号が漏洩した場合、被害者になりすまして物を購入されることもあります。これもID窃盗の一種です。
こうしたものはすべて、これらのマーケットプレイスで入手できるので、ID窃盗に関しては、これらのマーケットプレイスが果たす役割は大きいものがあります。
暗号通貨ぬきでダークウェブは語れません。暗号通貨は、ダークウェブではどのような役割を果たしているのでしょうか?
Laura: 発生する取引の多くは、ビットコインであれモネロであれ、その時点で人気のある暗号通貨によって行われます。
今は何ですか?
Elias: ビットコインです。
まだビットコインですか?
Laura: はい。最も広く使われていて、知名度が高く、取引をしたり実際のお金をビットコインに変える簡単な方法がたくさんあるからだと思います。したがってダークウェブには欠かせない仕組みになっています
Elias: ビットコインなどの暗号通貨とダークウェブの間には、イデオロギー的な意味でも興味深い関係があります。これまで話してきたように、ダークウェブ、Tor、ビットコインなどのサービスは、良い目的のためにも、匿名性を高めるためにも使用できます。
この種のイデオロギーは暗号通貨にも固有のものです。ただのツールですから。他のツールと同様に、良いことにも悪いことにも使うことができます。
つまり、平等であること、匿名であること、オープンであること、分散型であることが、暗号通貨とダークウェブを結びつける概念です。その意味で、同じようなイデオロギーを共有しているのです。
なるほど。
Laura: そうです。どちらもプライバシーを強化する技術です。プライバシーは、インターネットの一般ユーザー全員にとっても良いことだと思います。しかし実際には諸刃の剣です。身分を隠すことにも使用されるため、犯罪行為を助長します。
ビットコインで興味深いのは、コンセプトが透過的であることです。誰が誰にお金を払ったのかなどがわかるのですから。そして当然ながら、お金の難読化や、ビットコインの洗浄を保証するサービスもあります。結局、ありとあらゆるものが出現します。ビットコインを本物の通貨に戻すなど、その使用状況を再識別するインターフェースもあります。
しかし、プライバシーを強化したり、インターネット体験をより民主的にするためには、このイデオロギーが役に立つという意見には完全に同意します。つまり、技術そのものではなく、使われ方次第なのです。
犯罪行為について言えば、単に利用可能な技術があることよりも大きな問題です。特定の状況下で違法であったり、犯罪だったりすることが問題であり、さらにそれらのサービスに対する需要が依然としてあることが問題なのです。
これは本当に複雑な問題で、たとえば、Torネットワークを禁止するだけでは対処できません。データが侵害され流出して、オンラインで販売されるという問題を解消することは不可能です。なぜかというと、クリア/ディープネットを利用することもできますが、新たなオーバーレイネットワークを始めることもできます。そしてそれを止めることはできないからです。
Torネットワークやビットコイン、暗号通貨の使用を止めれば解決すると言いたいのですが、そう簡単にはいきません。残念ながら、それ以上のことが必要になります。
しかし、ダークウェブでは良いことも起きているという話もしましたね。 居住地域などのせいで、これらのサイトに自由にアクセスできない人に向けたサービスがあります。そのサイトで望むものを購入するには、匿名性と暗号通貨が必要になります。しかし、法を守る市民がダークウェブをこれらの合法的な目的のために利用することで、自分自身をリスクにさらすことになりませんか?治安が悪い場所をうろつくことで、サイバー犯罪に巻き込まれる危険性はないでしょうか?
Elias: もちろん、ダークウェブにあるサイトの中には、JavaScriptを無効にしなければアクセスできないものもあります。
しかし、正当なビジネスをしているのであれば、危険性は地元の政府・自治体の姿勢にかかっています。Torの仕組みとして、最初のノードにアクセスすると、入口ノードの既知のリストが表示されます。そこで政府としては、ISPにこれらのIPアドレスをブロックするように指示すればよいのです。中国ではそうしていると思います。Torネットワークの遮断に成功しているようです。
一部の政府やISPは、Torを利用している人を見つけると、その人を監視下に置き、さらに詳しく観察します。しかし、本来そこには何の違法性もありません。
Laura: その通りです。単なる技術ですからVPNを使うのと同じようなことです。
おそらく普通のユーザにとっては、VPNの方が良い解決策になるかもしれません。というのも、Torネットワーク、特にTorブラウザを使うと、ルーティングの仕組みにより、目的地に到着する前にあちこち経由するため、少し遅延が生じるからです。さらに、至る所にCAPTCHAがあるので、ネット閲覧の速度はかなり落ちます。
もし、あなたがこのようなことを積極的に阻止している国に住んでいて、道を歩いていたら、男が突然現れてあなたを逮捕しようとします。そんな男と理性的に話すことはできませんよね。
Laura: そうですね。
理性的な会話といえば、お二人の話し方は洗練されていますね。Torが単なる悪いツールだとは考えていないようですね。それは良いツールなのでしょうか?本当に人々に力を与えるものでしょうか? 中央集権の分散化や「先ほどの男」から逃れるすべを提供するのでしょうか?
Elias: 善や悪のような感覚や概念を何かに結びつけてしまうと、ハンマーは悪か? それとも善か?ということになりかねませんね。これは単なるツールです。 そして、それを使って何をするかによります。Torを悪用しているのは少数派だと思います。
また、人々が自分の意見や考えを表現できるように力を与え、民主的な場を作るという考え方は、元より私の声を積極的に制限しようとしない国に住んでいる私には、完全には理解できないことです。私はそのことを高く評価することはできません。しかし、ある制限の基で生活している人々にとっては、Torのようなツールが不可欠であることは明らかです。欠かすことはできないのです。
Laura: まったくその通りです。そして、時には自分がいるバブルの外側を垣間見るのは良いことす。もし世界が超民主的で、誰もが言論の自由を持ち、どこにも抑圧がなければ、このようなプライバシー強化技術は無用なものでしょう。それが根本的な問題なのです。
これらの技術は犯罪者や犯罪行為のツールとして作られたものではありません。人々を結びつけ、発言する機会を与えるという、より大きな目的のために作られています。しかし、それによって私たちのプライバシーが拡大してしまうので、違法行為を行うのに便利なツールにもなるのです。
今日は、知見に満ちたダークウェブの旅に誘ってくださり、ありがとうございました。
Laura: ありがとうございました。
Elias:お招きいただき、ありがとうございました。
カテゴリ