個人情報5ドルで売買、「闇サイト」驚きの実態　サイバー犯罪のインフラにもなるネットワーク

　「ダークウェブ」という言葉を聞いたことはあるだろうか。インターネットの世界には、GoogleやBingなど検索エンジンの結果をたどってアクセスできる部分と、そうでない部分がある。つまり、一般的なパソコン、スマートフォン、ブラウザではアクセスできないサイトやコミュニティが存在するのだ。

　当然、そのような裏社会のネットワークでは、犯罪やサイバー攻撃に関する情報がやり取りされていることもある。実際、サイバー犯罪者や犯罪組織のインフラとして機能している事実もあるが、もちろん合法的な情報のやり取りもされている。複雑な国際情勢において、裏だから悪と、単純に表裏・善悪に分類できないとも言えるだろう。

　ダークウェブの情報は、サイバーセキュリティに役立つために、専門家が情報収集に使うことも多いが、個人はもちろん企業でも決して安易にアクセスすべきではない。その点をしっかり確認したところで、どんな世界なのか解説していきたい。

■サーフェスウェブ、ディープウェブ、ダークウェブとは

　いわゆるアンダーグラウンドの世界だが、技術的な分類はもう少し複雑だ。

　ウェブの世界では「検索されなければ、それは世の中に存在しないと同義だ」という言説がある。人に認知、アクセスしてもらうという視点ではそのとおりだが、ウェブ全体でみれば、検索でたどり着ける範囲は極めて小さいとされる。ただインターネットの利用は、検索エンジンだけに頼るものではない。

　例えば、企業や学校のネットワーク、業務システムなどのウェブサイトは、社員や生徒しかアクセスできず、その内容はインターネットの検索からも遮断されているのが普通だ。

　SNSの多くも、メンバーの投稿内容を検索エンジンには公開していないし、スマホアプリのサイトやシステムも、通常PCやブラウザからアクセスできない。最近では、AI(人工知能)によるインターネットからの学習を制限する動きもある。

　Google、Bing、ヤフーなどの検索エンジンでアクセス可能な部分は「サーフェスウェブ」、これらではたどり着けない部分を「ディープウェブ」。そして、ディープウェブのうち、さらにアクセスが制限されていたり匿名性が高い仕組みで運営されているサイト群を「ダークウェブ」という。

　世界中のウェブコンテンツの比率では、サーフェスウェブが4％、ディープウェブが90％、ダークウェブが6％と類推されている。インターネットで公開されている情報のうち、普段われわれが目にしているのは全体のわずか4％、ごくわずかだということだ。

■ダークウェブは特殊なアクセス方法が必要

　ディープウェブにアクセスするには、ChromeやEdgeといった標準的なブラウザが利用できるものの、会社や学校のアカウント、SNSなど特定サービスのアカウントが必要になる。アカウント情報による認証を経てサイトやシステムにアクセスする形だ。

　一方、ダークウェブにアクセスするには、専用の特殊ブラウザや接続方式、高度な認証が必要になる。専用ブラウザとは、「Tor(トーア:Transmission Control Protocol)」「I2P(Invisible Internet Project)」などの匿名で閲覧できるネットワークを使う。

　見た目は普通のブラウザだが、接続先までのネットワーク経路を複雑にして、追跡や逆探知を困難にする機能が備わっている。

　ちなみに、Torのような専用ブラウザは、それ自体は合法であり一般の人でも入手、インストールすることが可能だ。もちろん、Torから企業ホームページやサービスサイトなどのサーフェスウェブへのアクセスもできる。

　サーフェスウェブとディープウェブの区別は、検索エンジンのデータベースに登録(インデックス)されているか否かが基準になる。一方、ディープウェブとダークウェブの境界は、技術的にあいまいな部分がある。ダークウェブは、ディープウェブの一部だからだ。

　アクセス方法や認証方法の違いで区別することはできるが、会社の内部システムにログインするのと、ダークウェブのコミュニティに参加(ログイン)する手順に大きな違いはなく、技術的な違いも少ない。

　では、目的や利用法で区別することは可能か。犯罪に関する情報がやり取りされているものの、犯罪者のためのネットワークかというとそうでもない。

■ダークウェブ上のアンダーグラウンド情報とは

　確かに、ダークウェブ上には、マルウェアや麻薬などを販売するECサイトや、ハッキング情報、犯罪情報を交換するSNSのようなコミュニティサイト、ファイル交換サービス、最近ではランサムウェアサービスサイトなどが存在する。

　実際にアンダーグラウンドのECサイトにアクセスしてみると、クレジットカード情報、マルウェア、麻薬などジャンルごとに無数の業者が出店しているのがわかる。

　中には、DDoS(ディードス)攻撃のトラフィック量を示して攻撃の請負をする業者もいる。DDoS攻撃とは、複数のコンピューターからウェブサイトやサーバに大量のデータを送付して負荷をかけるサイバー攻撃の1つだ。海外では、ライバルのゲームサイトやサービスに対してDDoS攻撃を仕掛ける事例はそれほど珍しくない。

ダークウェブ上のアンダーグラウンドマーケットで売買されているもの
＜ECサイト＞
・マルウェア
・麻薬・違法薬物
・児童ポルノ
・個人情報(各種アカウント情報・カード情報・銀行口座情報・与信情報・個人IDなど)
・銃器・爆発物
・サイバー攻撃受託
・ボットネット・ボットアカウント
＜ファイル交換サイト＞
・漏洩アカウント情報
・企業秘密(財務情報・特許技術・ソースコード・組織図・名簿)
＜ランサムウェアサービスサイト＞
・RaaS(Ransomware as a Service)運営者がランサムウェア、課金システム他をセットでライセンス販売し、アフィリエイターに利用させランサムウェア攻撃を行う。身代金が支払われるとその一部をアフィリエイターに還元する

　企業から盗んだ顧客のアカウント情報、カード情報などは、数千から数万、数十万件の単位で販売されている。

　漏出させたデータをそのまま販売するものから、複数の漏洩事件のデータをまとめたもの、その中から高値がつくカード番号や暗証番号(CVV)を抽出したもの、SSN(Social Security Number:日本ではマイナンバーに相当)などの国民IDと紐づいたものなど多種多様である。

　価格はカード番号の名前など基本的なものは1件あたり5ドルくらいから売られている。暗証番号や住所、電話番号、職業、年収などとセットになると数十ドルから100ドル以上の値がつくこともある。

■サイバー犯罪のインフラとしてのダークウェブ

　ログインIDとパスワードの組み合わせだけを、何十万件とリスト化したものもある。こうしたリストは、総当たり攻撃、リスト攻撃と呼ばれる攻撃に利用できる。

　ファイル交換サイトでは、このような闇サイトで成立した大量のカード上などのやりとりに使われることがある。ハッカー同士の情報交換、データ交換の場としても利用されており、専門家がアンダーグラウンドのファイル交換サイトをチェックすると、漏洩した企業データやアカウントデータベースを発見できることもある。

　ランサムウェアの中には、データを暗号化するだけでなく、コピーを公開する、アンダーグラウンドにばらまくという脅迫を行うものがある(暴露型ランサムウェア)。このとき盗んだデータの公開先として、アンダーグラウンドのECサイトやファイル交換サイトが利用される。

　ダークウェブは、犯罪組織やサイバー犯罪者のインフラとして機能している事実もある。2021年に物議を醸したアメリカのコロニアルパイプライン社へのランサムウェア攻撃は、「DarkSide」と呼ばれるハッカー集団のRaaS(Ransomware as a Service)が関与したとされている。

　この攻撃ではアメリカ東海岸の石油供給に影響が出るとされ、ガソリンスタンドに行列ができるといった騒ぎに発展した。FBIはロシア政府にも働きかけ、身代金の回収と実行犯の検挙に動いた。

　「REvil」というランサムウェアもRaaSを利用した攻撃で、アメリカの大手ITプロバイダーKaseyaの被害をはじめ世界中で猛威を振るった。2022年に実行犯の逮捕とREvilのランサムウェアサイトの解体が宣言された。

　長年猛威を振るっていた別のRaaSプラットフォーム、LockBitも国際的な捜査連携による実行犯の逮捕やサイトの解体がニュースになった。

　すでにこれらは、実行犯が逮捕され、サイトの閉鎖はされているものの、運営の主体、もしくはランサムウェア開発者は逮捕されておらず、類似または同名のランサムウェアの被害は完全にはなくなっていない。

■ダークウェブの約半分は合法的な情報のやりとり

　ダークウェブ上のコンテンツや情報のうち、約半分は合法的な情報のやりとりであって、犯罪やテロ、サイバー攻撃にかかわるものは半分を切っているという分析もある。

　例えば、ニューヨーク・タイムズやBBCは、自社報道が検閲されたり制限されたりしないように、正規のニュースをTorネットワークからアクセスできるようにしている。

　世界にはロシア、中国などインターネットは国が管理して統制すべきという立場と、EUやアメリカなどのインターネットは自由な空間であるべきという立場がある。香港の民主化運動ではTorブラウザやTelegramが活躍した。

　独裁国家では自由な発言のために当局の統制下にない通信手段が必要だ。Telegramは運営者が、暗号鍵を管理しない暗号通信が可能なメッセンジャーである。

　開発者はロシアのエンジニアとされていて、イラン、パキスタン、中国などは利用を禁止しており、ロシアでも利用が禁止されていた時期がある。つまり、犯罪者が利用しているからといって、一律に規制・禁止すればいいというものではないということだ。

■専門家はセキュリティ対策や情報収集に活用

　だが、ダークネウェブやTor、Telegramが合法だからといって、むやみにアクセスする必要はない。とくにアンダーグラウンドのECサイトや掲示板、コミュニティサイトへのアクセス、参加者へのコンタクトは、軽はずみに行っていいものではない。

　すぐにウイルスに感染するとか情報が抜き取られるといったことはないが、理由や目的がなければ、わざわざ犯罪者の中に入っていくべきではない。セキュリティの専門家でも、ダークウェブへのアクセスは慎重を期す。

　ダークウェブの情報は、時としてサイバーセキュリティに役立つ。ハクティビスト(ハッキングやサイバー攻撃を伴う活動家)や犯罪者コミュニティの情報を調べることで、彼らがどんな攻撃対象に興味を持っているのか、どの企業(国)を攻撃する計画を持っているのかがわかることがある。漏洩した情報がアップロードされている場所、新しいマルウェアの情報を知ることができるかもしれない。

　インターネットや実社会の公開情報、ダークウェブの情報を使って、セキュリティ対策に生かすことを「脅威インテリジェンス」といい、大手セキュリティベンダーが対策ソリューションとして展開している。脅威インテリジェンスでの情報収集は、プログラムやAIを使って高度に自動化することがメインだが、研究者が人力でダークウェブなどから情報を収集する場合もある。

　ただ、安易に脅威インテリジェンスを行うと、情報が得られないばかりか、報復のサイバー攻撃を受けるかもしれない。また、軽はずみに犯罪者と接触すると犯罪の幇助や教唆の罪を問われる可能性もある。接触方法や入手した情報の利用方法によっては、不正アクセス禁止法、個人情報保護法など関連法に触れる可能性もある。個人はもちろん、企業でも安易に行うべきではない。