ダークウェブとは?何が行われている?仕組みから最新動向まで | Codebook|Security News
Codebook|Security News > Articles > 脅威インテリジェンス > ダークウェブとは?何が行われている?仕組みから最新動向まで

脅威インテリジェンス

Cyber Intelligence

Intelligence

サイバーインテリジェンス

ダークウェブとは?何が行われている?仕組みから最新動向まで

Tamura

Tamura

2022.08.03

 

相次ぐサイバー攻撃や不正アクセスの報道で、「ダークウェブ」という言葉を耳にする機会が増えたのではないでしょうか?

ダークウェブとは、一般的な検索エンジンには表示されず、かつ、特殊な技術やソフトウェアを使ってしかアクセスできないWebサイトの集合です。ダークウェブでは身元を特定されにくいため、犯罪に悪用されかねない商品・サービスの売買や、ハッカー同士の情報共有が行われています。一方、このような有害な行為ばかりが行われている訳ではありません。

今回、イメージで語られがちなダークウェブの仕組みや技術、そこでの有害/無害な活動、危険性/違法性、最新の動向について解説していきます。

目次

ダークウェブとは?

 インターネットには3つの層がある

 サーフェスウェブ

 ディープウェブ

 ダークウェブ

ダークウェブで何が行われているのか?

 犯罪に悪用されかねない商品・サービスの売買

 ハッカー同士の情報共有

 無害なコンテンツも

ダークウェブは危険?入るだけで違法?

ダークウェブの現在【2022年8月】

ダークウェブ等監視ツールの紹介

ダークウェブとは?

ダークウェブは、私たちが普段目にするインターネットの世界と何が違うのでしょうか?まずは、ダークウェブの仕組みについて詳しく見ていきましょう。

インターネットには3つの層がある

インターネットの3つの層

図1:サーフェス/ディープ/ダークウェブの概念図[*1]

サーフェスウェブ(オープンウェブ)

サーフェスウェブとは、Google、Yahoo、Bingといった一般的な検索エンジンの検索結果に表示されるウェブサイトの集合のことです。オープンウェブとも呼ばれます。つまり、人々が普段目にしているインターネット(World Wide Web : WWW)は、ほとんどの場合「サーフェスウェブ」ということになります。

裏を返せば、こうした検索エンジンに引っかからないサイトもインターネット上に存在するということです。これらは、ディープウェブと呼ばれます。

ディープウェブ

ディープウェブとは、クローラー(検索エンジンの巡回プログラム)が到達できないため、通常の検索エンジンの検索結果に表示されないウェブコンテンツの集合を指します。たとえば、以下のようなサイトがディープウェブに該当します。

具体例

✔️ パスワード入力などの認証をしないと閲覧できないページ

(例:SNS / Eコマースサイト / ネットバンキング /ホテルや病院の予約サイトなどのアカウント、有料会員しか読めないニュース記事など多数)

✔️ 非公開、もしくは暗号化されたチャットグループ

✔️ サイバー犯罪フォーラム、カード犯罪フォーラム

✔️ サイト所有者がクローラーによるインデックスを拒否したサイト

イントラネットはディープウェブではない

イントラネット(=インターネットの技術を用いた組織内のネットワーク)は、そもそもインターネットから切り離されているため、ディープウェブとは区別されます。

ダークウェブ

ダークウェブはディープウェブの一部です。ディープウェブは通常の検索エンジンで表示されないだけであって、ログインしたりURLを入力したりすることで、通常のブラウザでも閲覧することが可能です。これに対してダークウェブは、検索結果に表示されないだけでなく、ユーザーの身元を特定されにくくする特殊な技術やソフトウェアを使ってしかアクセスできません。以下、こうした技術の一つである「Tor」(トーア / The Onion Routing)について、詳しく説明していきます。

Torとは

Torネットワークの概念図

図2:Torネットワークの概念図

Torを使ったネットワーク(Torネットワーク)は、世界中のボランティアが提供する何台ものコンピューター(「ノード(Node)」)から成ります。クライアントがTorネットワーク経由でWebサーバーにリクエストを送る際、リクエストは何層にも暗号化されます。層の数は、経由するノードの数だけ存在します。暗号化の「層」は、ノードを1つ通過するごとに1つ剥がされ、次のノードへと届けられます。この過程を繰り返すことで、リクエストはWebサーバーまで届けられます。各ノードからは1つ前と後のノードを特定できますが、それ以外のノードについては特定できません。このためTorネットワークでは、情報が辿ってきたすべての行程を追跡したり、送信者や受信者を特定することが困難になります。つまり、「誰が何のウェブサイトを見たか」を特定しにくくなるのです。

ちなみに、The Onion Routingという名称の由来は、暗号化の「層」を玉ねぎ(onion)の層に例えたところから来ています。

Torネットワークを経由してインターネットを閲覧するブラウザを、Torブラウザといいます。Torブラウザを使ってサーフェスウェブやディープウェブを閲覧することも可能なので、「Tor=ダークウェブ」というわけではありません。ただし、.onionというドメインのウェブサイトはTorブラウザでしか閲覧できません。この.onionドメインのサイトの集まりが、いわゆるダークウェブです。

表1:Torの大まかな歴史 [*2]

  • 1995年

    米国Naval Research Lab(NRL)の研究員が構想。

  • 2002年

    10月、Torネットワークが初めて展開される。

  • 2003年

    年末の時点で、ボランティアの「ノード」が米国を中心に数十件存在。

  • 2008年

    Torブラウザの開発が始まる。

  • 2010年

    民主化運動「アラブの春」でTorが使われる。

  • 2013年

    「スノーデン事件」でTorが使われる。

「闇サイト」との違い

メディア報道では、ダークウェブが「闇サイト」の一種かのように扱われることが多々あります(たとえば「闇サイト『ダークウェブ』」という表現)。しかし、両者は別物と考えた方が良いでしょう。

まず、「闇サイト」が個々のサイトを指すのに対し、ダークウェブはサイトの集合を指すという違いがあります(「闇サイト『ダークウェブ』」としてしまうと、逆の意味になります)。

また、「闇サイト」には「非合法的な目的のために利用される」という意味合いがあります。しかし、ダークウェブの意味するところは、あくまで「通常の手段では閲覧できず通信が匿名化されている」という点にあります。よって、ダークウェブのすべてが「非合法」とは限りません。実際、英国BBCの.onionサイトといった無害なダークウェブサイトも存在します(後述)。

「ダークネット」との違い

ダークネットとダークウェブが同じものとして扱われることもあります。しかし、ダークネットには「インターネット上の未使用のIPアドレス空間」を指す用法もあります[*3]。ダークウェブは、このような意味合いでは使われません。

ダークウェブの規模は?

ダークウェブの規模は、インターネット全体から見るとかなり小さいと報告されています。2019年に発表された調査結果[*4]によると、.onionドメインの数は55,828 件で、このうち調査時点でアクティブ(=ページの読み込みが可能)だったのは8,416件とのことです。これに対して、インターネット全体のドメイン数は全体で約15億件、アクティブなものだけで約2億件とされています[*5]。

ダークウェブで何が行われているのか?

ここまで、ダークウェブでは身元を特定されにくいということを見てきました。こうした匿名性からダークウェブ上では、犯罪に悪用されかねない商品やサービスの売買や、ハッカー同士の情報共有が行われています。ただし、ダークウェブで行われることすべてが有害な行為という訳ではありません。以下、具体例を見ていきましょう。

犯罪に悪用されかねない商品・サービスの売買

不正に取得した個人情報や企業の秘密情報

個人情報、それも氏名、住所、生年月日といった複数の種類をまとめてパッケージ化したものが、大量かつ比較的安い値段で売りに出されています。これらは、さまざまな不正行為へ利用されます。また、不正に取得した企業のデータベースも頻繁に売りに出されています。

サイバー攻撃のツール

マルウェア、エクスプロイトキット、フィッシングページなど、サイバー攻撃で使われるツールも販売されています。エクスプロイトキットは、簡単に複数のユーザーを感染させたいと考えるスキルの低い攻撃者たちから人気です。

サイバー攻撃の代行サービスや協力者

ランサムウェア・アズ・ア・サービス(RaaS)、DDoS攻撃代行サービスといった攻撃代行サービスも取引されています。エクスプロイトキットと同様、素人が攻撃に参入する上でのハードルを大幅に下げたとされています。また、サイバー攻撃を手伝ってくれるパートナーを募集する投稿も行われています。

侵入に成功したネットワーク

企業や組織のネットワークへのアクセスも頻繁に売りに出されています。攻撃者らは、購入したアクセスを足がかりにマルウェアへの感染などを行います。

クレジットカード情報

クレジットカードなど支払い機能付きカードの情報も販売されています。実店舗の端末から盗んだカード情報のほか、Eコマースサイトに攻撃者が仕掛けた不正なプログラムによって盗まれたカード情報も取引されています。

関連記事

クレジットカード情報流出、2021年の発生状況まとめ

ネットバンキングのログイン情報

ネットバンキングのIDやパスワードは、口座の残高を反映させた値段で売買されると報告されています。

偽造書類(パスポートなど)

偽造パスポートや新型コロナワクチン接種証明書などの偽造書類を販売するマーケットプレイスも存在します。

違法薬物、武器、児童虐待の画像など

この他、違法薬物、武器、児童虐待の画像なども販売されていると言われています。違法薬物を扱った有名な例としては、2013年に閉鎖された「Silk Road」や、2022年4月に閉鎖されたロシア語マーケット「Hydra Market」が挙げられます。

ハッカー同士の情報共有

ここまでは、データ、ツール、偽造書類などといった「モノ」について述べてきましたが、ダークウェブでは、「知識」や「ノウハウ」も共有されたり売買されたりしています。

たとえば脆弱性「Log4Shell」が公表されてから1週間、Log4Shellを悪用した攻撃に使用されるツールやサービスといった「モノ」だけでなく、攻撃の手法やパッチをめぐる最新情報の共有も行われました。

関連記事

脆弱性Log4Shell、ダークウェブでの反応は?

無害なコンテンツも

ここまでダークウェブの匿名性を悪用した行為に注目してきました。しかし、ダークウェブで行われることすべてが「悪」とは限りません。

大手マスメディアの「ダークウェブ」版

たとえば、米国のニューヨークタイムズや英国のBBCは、.onionサイトを持っています。ソーシャルメディアではFacebookが2014年に、Twitterが2022年3月にTorバージョンをリリースしました。いずれも、言論統制や検閲の厳しい国に住む人々やその支援者に、監視されずに多様な情報に触れられる手段を提供しています。

内部告発

内部告発サイトのウィキリークスでもTorの技術が使用されています。もっとも、ウィキリークスのサイト自体は通常の検索エンジンで閲覧できますが、匿名でドキュメントをアップロードする際に.onionのURLが使われます。

ダークウェブは危険?入るだけで違法?

このようにダークウェブには合法的なコンテンツも含まれるため、FacebookやTwitterの .onionサイトといった無害なサイトを見る分には問題ないでしょう。しかし、個人情報を売買したりすれば当然ながら違法になります。

また、自社のデータが売買されていないかを調べるといった監視目的でダークウェブにアクセスすることも、基本的にはおすすめしません。なぜなら、監視・分析のための特別なスキルがないと、期待した成果をあげられないためです。たとえば、主要フォーラムでは、英語、ロシア語、中国語が使われることが多い上、隠語や略語が多用されます。情報量も膨大で、中には信頼できない投稿が数多く紛れ込んでいます。数年前に漏洩したデータを「最新のデータ」として販売し、買い手を騙そうとする例も多々あります。有償のダークウェブ監視ツールを使えば、自らダークウェブにアクセスする必要がなく、専門家による分析結果も提供されます。ダークウェブの情報をリスク対策に生かしたい場合は、このようなツールの使用を推奨します。

ダークウェブの現在【2022年8月】

相次ぐ閉鎖、チャットアプリへの誘導

ダークウェブのフォーラム/マーケットプレイスは、捜査機関に閉鎖されては名前を変えるなどして復活するという「いたちごっこ」を繰り返してきました。近年では、犯罪者らは追跡の難しいチャットアプリとダークウェブを併用する傾向にあるようです。

表2:閉鎖された主なダークウェブフォーラム/マーケットプレイス

  • 名称
    (開始年/閉鎖年)

    備考

  • Silk Road
    (2010年/2013年)

    薬物、偽造パスポートなどが売買されていた。当時、世界最大のダークウェブマーケットプレイスだった。米国当局が閉鎖。

  • AlphaBay
    (2014年/2017年)

    薬物、マルウェア・ハッキングツール、漏洩個人情報が売買されていた。当時、世界最大のダークウェブマーケットプレイスだった。米国当局などが閉鎖したが、2021年8月に再開との情報あり。

  • Hydra Market
    (2015年/2022年)

    ロシア語が使われるマーケットとしては最大規模(当時)。薬物、暗号資産ロンダリング、偽造書類が売買されていた。ドイツ当局が閉鎖。

 

追跡の難しいチャットアプリの中でも、特に存在感が強いのはTelegram(テレグラム)です。AlphaBayの閉鎖後には、Telegramのグループにユーザーを招待するダークウェブサイトが増加したと報告されています。またHydraの閉鎖直後には、かつてHydra上で活動していたショップの多くが、活動の場所をTelegramに移したと報告されています。Telegramに移行したショップには、ベンダーと買い手の信頼関係を強化するのに役立つレビュー(評価)やエスクロー(仲介者)といった重要な機能がない一方で、テイクダウン(当局による閉鎖)やサイバー攻撃に比較的強いなどの利点があるようです。

このように、ディープウェブとダークウェブを見るだけでは脅威の全体像を把握できなくなってきています。Telegramのようなチャットアプリやサーフェスウェブの情報も含めて注視していくことが重要でしょう。

関連記事:Telegramがオープンソース調査に必要不可欠な理由

ダークウェブ等監視ツールの紹介

マキナレコードでは、ダークウェブ上の脅威監視に活用できる脅威インテリジェンスツールや、ツールをお客様に代わって運用するマネージドサービスを提供しております。

関連記事:

脅威インテリジェンスとは何か? その種類と重要性

脅威インテリジェンスの国内における活用例と活用のヒント

Flashpoint(DDW、チャットなど)

ディープ&ダークウェブ(DDW)やチャットアプリのみならず、オープンソースをも含めた「不法コミュニティ」全体をカバーした脅威インテリジェンスツールです。

米国司法機関等を経て経験を積んだアナリストが、30以上の言語を対象としたサイバー犯罪や物理的なテロ脅威など多岐にわたり分析します。他のThreat Intelligenceサービスとの連携にも対応しており、米国の主要な金融機関、司法機関、リテール、保険業界など、Fortune500の多くの企業により採用されています。

Gemini(漏洩カード情報に特化)

不正に取得・盗難されたクレジットカード情報をモニタリングするプラットフォームです。詐欺・脅威インテリジェンスチームによるサイバー犯罪マーケットの観察を可能にし、企業の資産ポートフォリオのエクスポージャーレベルを正確に評価できます。

 

マネージドサービス

お客様に代わりマキナレコード社の実績のあるアナリストがインテリジェンスツールの監視/通知/運用を行うサービスです。

対象となるお客様例

・セキュリティ運用業務の人的リソースが不足している

・自社に対する脅威情報/漏洩認証情報の監視ができていない

・レポートの作成に時間がかかっている

・検知はできているが、分析や関連情報の収集まではできていない

サービス内容

・同業界での脅威情報の提供

・月次/週次レポートによる報告

・リアルタイムでの脅威情報の提供

・実績のあるアナリストによる詳細分析情報/関連情報の収集

参考資料

[*1] Nature Vectors by Vecteezyより、筆者作成。

[*2] Tor Project, “History” より、筆者作成。

https://www.torproject.org/about/history/

[*3] 具体例として、以下のサイトが挙げられます。

・情報処理推進機構, 「情報セキュリティ技術動向調査(2008 年下期)」

ダークネットとはインターネット上の未使用のIPアドレス空間のことを示す。ダークネットに到来するパケットを観測することで、インターネットを経由して感染を広めるマルウェア(以下、リモートエクスプロイト型マルウェア)の活動傾向などを把握することが出来る。

https://warp.ndl.go.jp/collections/info:ndljp/pid/12308150/www.ipa.go.jp/security/fy20/reports/tech1-tg/2_07.html  *国立国会図書館インターネット資料収集保存事業(WARP)サイトのアーカイブに遷移します。

・PC Magazine, “darknet”

https://www.pcmag.com/encyclopedia/term/darknet

(1) See Dark Web.

(2) A server that collects packets from an attacker. It provides no services other than to receive packets for analysis. Any packets sent to the darknet are most likely malware, because its IP address is not published. The server must have been scanned and detected as vulnerable to attack. See honeypot and topsite.

[*4] Recorded Future,“Who’s Afraid of the Dark? Hype Versus Reality on the Dark Web”(2019年5月7日)

https://go.recordedfuture.com/hubfs/reports/cta-2019-0507.pdf

[*5] internet live stats, “Total number of Websites”

https://www.internetlivestats.com/total-number-of-websites/#ref-1

 

Writer

Kyohei株式会社マキナレコード インテリジェンス関連・翻訳担当

著者

2013年に一橋大学卒業後、新聞記者などを経て、2020年にマキナレコード入社。以降、翻訳スタッフとして、情報セキュリティ、インテリジェンス、ダークウェブ関連のレポートやマニュアル文書等の英日翻訳に携わる。インテリジェンス関連のブログ記事制作も担当。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ