ダークウェブ:光の射さない陰で何が起きているのか?

6月 25, 2019 セキュリティとコンプライアンス, MOVEit

ダークウェブ。この言葉は聞いたことがあると思います。一般紙でも、違法商品、ID窃盗、クレジットカード詐欺などのニュース記事によく出てきます。これは、一般ユーザーにとってもIT管理者にとっても、デジタルなブギーマン(訳者注:子供をおどかすときに用いる想像上の怪物)のようなもので、恐怖のために誤りを犯しやすくし、どうするべきなのか有用な助言を求める声が高まっています。このブログでは、光の射さない陰で何が起きているかを概説します。どのようにしてそこにたどり着き、たどり着いたとき誰が待っていて、そこで何が売られているのでしょうか?

前置きとして

まず、ダークウェブの定義はここに記述されています。検索エンジンを使用してインターネット上で見つけることができるコンテンツ、つまり公開されているサイトは、サーフェスウェブに属します。ウィキペディアのエントリー、会社のウェブサイト、e-コマースサイトなどがそうです。パスワードで保護されたページ、ペイウォールの背後にあるコンテンツ、企業のイントラネットなど、一般に公開されておらず検索エンジンでは検索できないものはすべて、インターネットの約90%を占めるディープウェブを構成します。ディープウェブとダークウェブを混同する人もいるようですが、それは不正確です。ダークウェブのサイトは、検索エンジンで検索できないだけではなく、通常のブラウザを使っても見つけることができません(ディープウェブは、URLを知っていれば通常のブラウザを使ってアクセスできます)。

関連ブログ:ハッカーの宝探し:中小企業は大丈夫?

ダークウェブへのアクセス

では、どうすればダークウェブにアクセス (ここでもディープウェブという用語が使われています (笑) が、ダークネットとも言い換えており、ダークウェブへのアクセスについての話です) できるのでしょうか?ダークネットの匿名ネットワークへのアクセスを許可する The Onion Router(TOR)ソフトウェアから始めましょう。簡単にダウンロードできます。オープンしたら、普通に見かけるような Web ブラウザを使って、「隠しサービス」にアクセスできます。これらの「隠しサービス」の Web アドレスの末尾は、一般的な .com や .org ではなく、.onion です。この Web との接続が他の人に監視されないようにするのに、仮想プライベートネットワーク(virtual private network、VPN)接続などが利用されたりもします。

何が売られているか?

ダークネットでは、合法的なものも違法なものも活発に取引が行われています。不況にも強く、WIRED によると、数年の間に麻薬取引にかかわる複数の組織が破綻したにもかかわらず、ダークネットでの違法薬物取引は年間で1億ドル以上に達します。武器、弾薬、ポルノが、ダークウェブでよく取引されるものの代表ですが、ほかにも様々なものが取引されます。ZDNetによると、ダークウェブでは、eBay に出品されるようなものも、売買されます。古いビデオゲーム機、DVD、モバイル機器などといったもので、偽物も合法的なものも両方存在します。また、社会的圧力や政府からの弾圧から身を守るために匿名性を好むハクティビストにとっては、避難所にもなり得ます。Business Insider が、ダークウェブで販売されている奇妙なものとしてまとめたリストには、以下のようなものも含まれます。

  • 不死へのガイド
  • オンデマンド3D印刷、「銃からスキマーまで何でも」
  • ビーチの砂
  • リアルなシリコンマスク
  • 食料品店の偽クーポン

簡単に言えば、欲しいものはほぼ何でもダークウェブで手に入ります。

IDの問題

個人情報の盗難についての言及なしに、ダークウェブに関する議論を終えることはできません。盗まれたクレジットカード番号、Netflix アカウントの詳細、銀行へのログイン情報、電子商取引の資格情報などは、すべて売りに出されていて、どこを探すべきかさえわかっていれば、購入可能です。

BGR によると、この種のデータには、かなり統制されたマーケットがあります。盗まれたクレジットカードとデビットカードは、米国で5ドルから30ドルです。2,200ドルの残高がある銀行口座のログイン情報は190ドルです。オンライン決済の資格情報は20ドルから300ドルの範囲です。テレビですか?HBO NOW や HBO GO アカウントは10ドル、プレミアムスポーツストリーミングは15ドルからあります。さらに悪いことに、個人の名前や生年月日から自宅の住所、電話番号、ソーシャルアカウントとオンラインアカウントのログイン情報まで、個人に関するフルの個人識別情報も売られています。

法を犯そうなどとは考えていない善良な市民がダークウェブへのアクセスを模索することがありますが、これがその主たる理由です。つまり、自分がID窃盗の犠牲者かどうかを確認するためです。それが目的なら、Rescator や Ran$umBin のようなサイトから始めるのがいいと思います。どちらも、犯罪者が盗まれたIDやクレジットカードの詳細をアップロードするためのサイトです。これらのサイトは、初期のダークウェブ・サイトとは比較にならないほど、顧客サービスと応答性に磨きをかけています。一般的な電子商取引のサイトと同様、気分よく迅速に購入できるような体制を整えるのに余念がありません。したがって、いくつか一般的な質問をすれば、自分に関する個人情報がどこまで詳細に掌握されているのかがわかり、代償を支払っても回復を求めるべきか​​、それらを捨てて無効にし、ゼロからやり直すべきかを判断することができます。

サーフェスの下にディープウェブがあり、その下にダークウェブがあります。立ち入りは簡単ですが、十分な注意を怠らないようにしてください。光の射さない闇の世界では、何が起きても不思議ではありません。

Doug Bonderud