[2022年最新版] サイバー攻撃監視はカンタンに自動化できないのか? 専門知識不要、コスト不要の徹底自動化ガイド
「なぜサイバー攻撃に気づけないないのか」という基礎から、「自動検知するための具体的な仕組みづくり」まで。ログ管理の観点から、効率的なサイバーセキュリティ対策をご紹介します。
[2022年最新版] サイバー攻撃監視はカンタンに自動化できないのか? 専門知識不要、コスト不要の徹底自動化ガイド
資料をメールで受け取る

ダークウェブとは

ダークウェブとは、GoogleやYahoo!などの検索エンジンから見つけることができない上に、Safariなどの一般的なWebブラウザからは閲覧できず、専用ツールからのみアクセスできるWebサイトです。そうしたダークウェブでは、漏えいした個人情報やマルウェア、薬物などの違法取引が行われています。
そのため、興味本位でダークウェブを覗くことは避けるべきですが、ダークウェブについての正しい知識を知っておくことは、セキュリティ対策の観点から有用です。

今回、ダークウェブと通常のWebとの違い、事例等を紹介、説明していきます。

ダークウェブとは

Webの世界は主に3つに分かれており、それぞれサーフェイスウェブ(パブリックなWebサイト)、ディープウェブ、ダークウェブと呼ばれており、3つの関係性はよく氷山にたとえられます。

サーフェイスウェブ

サーフェイスウェブは、一般的に利用されるWebサイトの総称で、GoogleやYahoo! 、Bingなどの検索エンジンからアクセスできる企業や組織、政府のホームページなど様々なサイトを指します。

ディープウェブ

ディープウェブはGoogleやYahoo!などの検索エンジンでは検索できないWebサイトです。
ディープウェブは、Web全体の90%を占めている領域で、アクセスに認証が必要になります。
通常の検索エンジンで閲覧することは可能ですが、検索回避の設定がされているため検索画面では表示されず、直接URLでのアクセスが必要になります。
この領域のサイトはすべてが悪質なサイトというわけではなく、アクセスが必要な会員制のサイトなどもこの領域に含まれるため、正当な理由で検索エンジンに表示されないケースも存在します。

ダークウェブ

先述した通り、ダークウェブとは、GoogleやYahoo!などの検索エンジンから見つけることができない上に、Safariなどの一般的なWebブラウザからは閲覧できず、専用ツールからのみアクセスできるWebサイトです。 ダークウェブは、Web全体の6%を占める領域で、ディープウェブと同様、通常の検索エンジンでは閲覧することができないという特徴がありますが、それに加えてダークウェブでは、アクセスするために高い匿名性を担保する専用のブラウザツールが必要になります。
ダークウェブの元となった技術は、米国海軍によって開発されたもので、匿名性を高くし、情報の秘匿性を確保する目的で作られました。
この技術は、世界中のサーバを経由してアクセスすることで匿名性や追跡回避を担保していて、この技術は玉ねぎのように何層も重なることでユーザーを見えなくすることから、「オニオン・ルーティング」とも呼ばれています。
その後、オニオン・ルーティング技術は、「Tor」と呼ばれるようになりました。「Tor」は、非営利団体のプロジェクトとして現在も利用できます。



情報処理推進機構(IPA)によると、Webという大きな領域の中で私たちが普段利用しているサーフェイスウェブはWeb全体の約4%しか占めておらず、ほんの氷山の一角に過ぎないのです。

参照:https://www.ipa.go.jp/files/000080167.pdf

サーフェイスウェブ ディープウェブ ダークウェブ
Webを占めている値 4% 90% 6%
アクセス条件 なし 直接URLでのアクセスが必要 高い匿名性を担保する専用ブラウザーツールが必要
ページの特徴 一般的な検索エンジンを通して検索やアクセスが可能 検索結果に表示されない 一方で近年では危険ドラッグやサイバー攻撃などを取引するための闇市場の存在があるため問題視されている

ダークウェブの歴史と仕組み

ダークウェブの誕生と発展

ダークウェブは、インターネット上における言論の自由やプライバシーの保護を確保するため開発されたツールとともに誕生しましたが、匿名性という特徴を悪用した闇市場の台頭によって発達していきました。さらに米軍が情報の匿名性を維持するために開発したオニオン・ルーティング技術が「Tor(The Onion Router)」と呼ばれるようになり、2000年代初期に「Tor」を含め、「Freenet」「I2P」の3つのツールがリリースされたことで更にダークウェブは拡大しているのです。なかでも「Tor」は最も普及している匿名通信ツールであり、ダークウェブにアクセスする際に利用されています。

Torの仕組み

Tor
Webサイト:https://www.torproject.org/

Torは2000年初期に公開され、公開当初は米軍の工作活動に使われていましたが、現在では、オープンソースソフトウェアとして公開され、発信元の秘匿性が高い通信として、言論の自由とプライバシー保護のために使われるようになりました。
Torの大きな特徴は匿名性です。ウェブサイトにアクセスする際に、世界中でボランティア提供されているサーバで構成される分散型ネットワークを通じて、ランダムな複数のサーバを経由し、その経路を暗号化することで、アクセス元のIPアドレスおよび送信者を追跡しにくくする仕組みになっています。

ダークウェブで提供されているもの

ダークウェブと聞くとマイナスなイメージが強く定着しているため、違法なコンテンツだけが提供されていると思われがちですが、合法的なコンテンツも存在しています。
一方で、違法な取引や犯罪の温床になっていることは紛れもない事実です。
では実際にどのようなコンテンツが取引されているのかを紹介していきます。

アカウントのIDとパスワードリスト

昨今様々な種類のSNSやECサイトが登場し、個人が持つアカウントの数は非常に多くなってきています。そのアカウントにログインする際のIDやパスワードがリスト化されて取引されています。
ユーザーは多くのサイトで同じIDとパスワードを使いまわす習性があり、このリストをパスワードリスト型攻撃などに利用されてしまう可能性があります。

クレジットカード情報や偽装クレジットカード

クレジットカード情報を盗んで取引したり、それらを元に作られた偽造のクレジットカード(クローンカード)が取引されたりしています。
偽造のクレジットカードでもECサイトや店舗で実際に使用できてしまうのが恐ろしいところです。

脆弱性情報

公式HPやサーバ、コマンドツールなど様々な種類の脆弱性や様々なサーバへのログインに関する情報が取引されています。
ダークウェブで取引されるような脆弱性情報は世間一般にまだ知られていない情報であるケースが多く、サイバー攻撃の攻撃者にとっては非常に価値のある情報になります。
そして、攻撃を行う際に使用されるマルウェアを簡単に作成できてしまうツールキットなども取引されています。

違法薬物

ダークウェブにおける違法薬物の取引は年々拡大しており非常に大きな市場となっています。
新型コロナウィルスの影響もあり、麻薬取引が次々にネットに移行したことでさらに規模が拡大したという背景もあります。
2021年1月にドイツ警察によって摘発された「ダークマーケット」と呼ばれる闇市場では当時世界中に50万人のユーザーと2400人の売り手が存在しており、日本円でも約180億円の取引が行われていたそうです。
大麻やコカイン、がんの特効薬、不老不死の薬など違法薬物だけでなくいかにも怪しげなものまで取引されています。

拳銃などの武器

拳銃など、本来なら銃刀法違反になるような武器なども取引されています。
値段は10万円から100万円までとばらつきがありますが、ダークウェブにアクセスできる知識があれば、最低10万円で購入可能なので、誰でも拳銃を手に入れてしまうことができてしまう環境になっています。

ダークウェブ版Facebook

ダークウェブ上にも公式のFacebookが存在していて、サーフェイスウェブで作成したアカウントでログインをすることが可能です。
TorからFacebookを利用しているユーザーは100万人以上存在し、位置情報の偽装やサービスの利用が禁止されている国や地域において、ダークウェブ上であれば検閲の回避などを行うことが可能になります。

金銭の受け渡しで利用される仮想通貨

ダークウェブにおけるモノや情報の取引は匿名性の担保によって成り立っていますが、取引の際に行われる金銭の受け渡しを金融機関で行ってしまうと匿名性が保たれずに摘発の対象になりかねません。
そこで利用されるようになったのが仮想通貨です。仮想通貨ではブロックチェーンと呼ばれる非中央集権方式の技術が使用されているため、取引間に金融機関などの第3者が介入することなく金銭の受け渡しが可能になります。
さらに数多くの種類が存在する仮想通貨は取引の方法によって匿名性の高さも変化します。
中でもゼロ知識証明という方法は非常に匿名性の高い取引方法で、自身がパスワードなどの秘密の情報を知っているという事実を、検証者に対してその情報を明かさずに証明する方法です。
検証者が作成した機密情報に関わる問いに解答し、そのやり取りを繰り返すことで証明をしていきます。
これらの要因に加えて、仮想通貨は世界中どこでもやりとりが可能であるという点も相まってダークウェブの取引に利用されるようになったのです。

ダークウェブを利用した事件事例

年月 概要
2018年1月 暗号資産(仮想通貨)交換業者のコインチェック(東京)が2018年1月、ハッキングされて約580億円分の暗号資産NEM(ネム)が流出した事件。「ダークウェブ」上にNEMを別の暗号資産と交換する闇サイトが現れ、不正と知りながら交換する人が続出。約1カ月半でほぼ全てが交換された。
出典:https://www.asahi.com/sp/articles/ASP1Q3TWBP1QUTIL00B.html?iref=sp_ss_date_article
2020年4月 オンラインビデオ会議ツール「Zoom」のアカウント約50万件がダークウェブ上にて取引されていた。アカウントIDやメールアドレス、ホストキーなどが流出。
出典:https://forbesjapan.com/articles/detail/33801=sp_ss_date_article
出典:https://nordicitsecurity.com/500000-zoom-accounts-found-for-sale-on-the-dark-web/=sp_ss_date_article

ダークウェブと普段のセキュリティ対策

大切なことは、ダークウェブにアクセスしないことです。専用のツールさえあれば簡単にアクセスできてしまいます。
しかし、興味本位でアクセスするだけでもサイバー攻撃のターゲットにされてしまったり、知らないうちに不正サービスを利用して犯罪者になってしまったりする可能性があるので、ダークウェブには関わらないようにしましょう。
さらに以下についても注意が必要です。

個人情報の徹底管理

住所や名前などの基本的な個人情報だけではなく、普段から利用しているSNSなどのIDやパスワード、クレジットカードの情報などは盗み出されてしまうとダークウェブ上で販売されてしまう可能性があります。
そしてサイバー攻撃をする犯罪者はこれらを購入し、パスワードリスト型攻撃やブルートフォースアタックなどの攻撃を仕掛けようとするのです。
そのため、パスワードの使いまわしは極力避け、もしパスワードが流出しても問題ないように二段階認証を採用することが重要です。
さらに、クレジットカードについては利用明細のこまめなチェックをすることで、知らない間に不正利用されることを回避できます。

仮想通貨の管理

近年は暗号資産として仮想通貨を利用する人が増加してきています。
ダークウェブでは仮想通貨によって大きな市場が形成されているので、必然的に仮想通貨は狙われる対象になってしまいます。
自身のアカウントや保有する資産の管理を徹底し、ハードウォレットで管理して取引時だけソフトウォレットに引き出すなどの工夫が必要になります。

まとめ

ダークウェブは本来、自由を尊重することを目的として利用されていたものではありますが、現在犯罪の温床になってしまっているのは事実です。
最近、情報漏えいの事件が日本でも起きていますが、それらの事件で盗まれた情報は、ダークウェブ上で売買対象になっていることは、容易に想像できてしまいます。攻撃者はこのような場所から情報を手に入れ、別の切り口から攻撃を仕掛けてきます。
ダークウェブ経由で盗まれた情報が悪用されるリスクを回避するために、できる限りの対策を講じていくことが重要なので、使う使わないは別として、ダークウェブの正しい知識を持っておけば対策の幅も広がり、より強固な対策にアップグレードが可能です。

宮田 昌紀(みやた まさのり)
株式会社網屋
内部統制コンサルティング シニアマネージャー
宮田 昌紀(みやた まさのり)

網屋入社後、公認情報システム監査.(CISA)として、大手企業の情報セキュリティやITガバナンスのコンサルティング及び内部監査支援業務に携わる。近年は、サイバー対策や働き方改革など、様々な目的に応じたログの可視化や有効活用のためのソリューションコンサルティングにも従事。国内企業に限らず、外資系企業や自治体などへのコンサルティングも展開。

ホワイトペーパー

[2022年最新版] サイバー攻撃監視はカンタンに自動化できないのか?

専門知識不要、コスト不要の徹底自動化ガイド

「なぜサイバー攻撃に気づけないないのか」という基礎から、「自動検知するための具体的な仕組みづくり」まで。ログ管理の観点から、効率的なサイバーセキュリティ対策をご紹介します。

こんな方におすすめ!

  • 1

    標的型攻撃の
    手法・対策を
    知りたい

  • 2

    セキュリティ運用
    の自動化メソッド
    を知りたい

  • 3

    サイバーセキュリティ
    対策にログを
    活用したい