ダークウェブは悪名高く、世界的に広く知られています。10年前なら、それほどではなかったでしょう。しかし、サイバー攻撃が加速し、世界中の極悪非道なアクターが違法な商品や情報の購入者とより迅速につながりを持とうとする中、ダークウェブという用語は顕著な形で表面化するようになりました。
テュレーン大学の説明によれば、ダークウェブは米国国防総省による匿名通信の手段として活用されていました。アクティビティを匿名に保つというその特色には依然変わりはありませんが、現在では、善良な市民ではなく、悪質なアクターを保護しているのが実情です。
ダークウェブは、違法薬物、身分証明書、情報(パスワードや口座番号など)、武器、その他多くの違法な形態の現物やデジタル情報の売り手が、国境を越えてこれらの商材を取引する場所です。サイバーセキュリティの観点から見ると、ダークウェブは、サービスとしてのランサムウェアキットやフィッシング手法が日々取引され、利用される場所といえます。
率直に言えば、特にサイバーセキュリティに関して、ダークウェブは、攻撃者が組織やビジネスを混乱させるために必要なツールを入手するための情報源となっています。したがって、世界中のセキュリティチームにとって、これまで以上に迅速な対応が最重要となっています。
ダークウェブにアクセスできるダークネットの種類は、数多くあります。本来、ダークネットとはダークウェブ上のコンテンツにアクセスする手段を指します。利用可能なダークネットの一般的な例を見てみましょう。
ダークウェブにアクセスしようとするとき、その人は、認めると認めざるとにかかわらず、目に見えない一線を越えることになります。どちらにせよ、楽観的な気持ちでダークウェブにアクセスする人はいません。
例えば、Torは多層暗号化を使用して、コンピュータネットワーク上の通信を匿名化します。これらの暗号化の層を、タマネギの皮に例えているのです。
ダークウェブは違法行為とほぼ同義であるため、説明は少し分かりにくくなるかもしれません。実際に、そこで行われているアクティビティの大部分は違法です。
しかし、信じられないかもしれませんが、ダークウェブにアクセスすること自体は違法ではありません。実際、評判の良いブランドや企業がダークウェブ経由でアクセスできるサイトを有することもあります。ダークウェブを閲覧し、そこで出会う可能性のある不特定多数と関わることは、特に個人データの開示が伴う場合は、危険となる可能性があります。
サイバー犯罪者はダークウェブで、系統的に攻撃を企てたり、違法な商品を販売したり、あるいはマルウェアやフィッシングキット、すぐに使えるエクスプロイットを共有しています。しかし、ダークウェブは犯罪行為のためだけのものだと思っている人にとっては大きな驚きかもしれませんが、合法的な目的にも利用される可能性があります。両方のユースケースを見てみましょう。
世界には権威主義的な政府がたくさんあり、そのような政権下で生活している人々は匿名でコミュニケーションをとる必要があります。実際、このような状況にある人にとっては、仮想プライベートネットワーク(VPN)経由でダークウェブを使用する方がはるかに安全になることがよくあります。
政府機関、一部の新聞社、技術組織の多くが匿名化ネットワークであるTorネットワークを採用しており、ダークウェブとのやり取りにおいて身元を匿名に保っています。その理由としては、プライバシー保護への取り組みを示すためや、匿名での情報提供を可能にするためなどが考えられます。例えば、Guardian紙やCIAも匿名投稿プラットフォームであるSecureDropでTorを使用します。これにより、匿名の情報提供者から安全に情報を受け取ることができます。
Torなどのダークウェブプロトコルへのアクセスと使用は、違法ではありません。こうしたプロトコルは、違法行為を行う多くの悪質業者に選ばれるプラットフォームとして採用されているだけです。
ユーザーが正当な理由で匿名性を希望し、企業が保護を提供するとします。そうすると、実際に非公開データに不正アクセスしようとするサイバー攻撃犯罪者にも同様の匿名性を提供することになります。オープンウェブで行われている電子商取引に比べてトラフィック量は少ないですが、ダークウェブが攻撃者や違法な電子商取引活動の温床であることは否定できません。
ダークウェブの闇市場で取引される違法コンテンツやダークウェブ上の違法行為は、法執行機関やインターネットサービスプロバイダー(ISP)が対策に多大な時間を費やす幅広い活動に広がっています。悪質な使用例には次のようなものがあります。
これらの違法行為の多くは、売り手と買い手の匿名性を保つために、取引にビットコインやその他の暗号通貨を使用しており、FBI、CIA、その他国際的なパートナー組織などの法執行機関が違法行為を妨害することが難しくなります。しかし、Silk Roadのようなダークウェブネットワークの追跡と混乱が示すように、それは不可能ではありません。
ダークウェブで販売される他の素材には、以下のようなものもあります。
ディープウェブとダークウェブの違いは、どちらかに存在する情報の「見つけやすさ」にあるとは必ずしも言えません。これらのオンライン情報リポジトリのいずれにも、GoogleやBingなどの検索エンジンでインデックス化されていないデータが含まれているからです。主な違いは、次の2つの点で説明できます。
ディープウェブとダークウェブの間には重複する側面があるため、これらの違いは必ずしも明確ではありません。インターネットに接続している人なら誰でも世界中の一般向けのウェブサイトにアクセスできるサーフェスウェブ(別名オープンウェブ)とは対照的に、ディープウェブとダークウェブは、見つけられることが必ずしも目的ではない情報の格納を目指したものです。したがって、ディープウェブやダークウェブファイルリポジトリの中には、善意によるものではないものも含まれる可能性が高くなります。
前述したように、これらの接続されたコンテンツリポジトリネットワークへのアクセスはいずれも違法ではありません。実際、脅威ハンティングを実施したり、自社やクライアントのネットワークを防御するサイバーセキュリティ組織は、これらの組織に頻繁にアクセスする必要があります。
例えば、ある脅威アクターが大手医療機関から盗んだデータを所有している場合、この機関の代表として対応を行うセキュリティ担当者は、その調査の大半をダークウェブで行うことになる可能性があります。ディープウェブとダークウェブから収集された脅威インテリジェンスは、ディープウェブやダークウェブなどの自社ネットワーク外からのテレメトリを分析する上で、脅威ハンティングチームに将来的に役立つ可能性があります。
昨今では、貴重な資産やデータを脅威アクターの攻撃から保護することがますます困難になっているように思われ、これは、医療、エネルギー、金融などの主要セクターで機密データを扱う企業組織に特に当てはまります。攻勢に出ることがこれまで以上に重要となっている理由はここにあります。
サイバー犯罪者はダークウェブで、系統的に攻撃を企てたり、違法な商品を販売したり、あるいはマルウェアやフィッシングキット、すぐに使えるエクスプロイトを共有したりしています。敵の背後に回り、攻撃者とその目的を早い段階で特定することで、適切な備えをすることができます。
適切な監視リソースを使用することで、脅威アクターとそのアクティビティを可視化できます。これには、制限的なチャネルにアクセスし、自動的に情報収集して、組織、従業員や顧客を標的とする攻撃を予測することを含みます。
メンバー限定のダークウェブフォーラムや脅威アクターのプライベートチャネルを監視します。こうすることで、攻撃の自動化、脆弱性スキャン、従業員や顧客を騙すために使用される新しいサイバー犯罪の戦術やツールを明らかにできます。加害者の立場に立ち、加害者がどのように自社を攻撃する可能性があるのか、さらにその具体的な攻撃の手法を理解することが重要です。
敵を継続的に監視し、脅威アクターと連携できるダークウェブ監視ソリューションを使用することが重要です。こうしたソリューションは、これらのアクティビティからデータサンプルを収集し、動機を明らかにし、よりスマートなサイバーセキュリティワークフローの展開を支援できるはずです。