ダークウェブの監視で漏洩をチェック、モニタリングで攻撃を防ぐ

公開日:

更新日:

脅威インテリジェンス
   

Recorded Futureライターチームです。

本記事では、ダークウェブを監視しサイバー攻撃を防ぐ方法について紹介しています。

ダークウェブは、一般的な検索エンジンでは表示されないウェブサイトの一種であり、匿名性が高いことが特徴です。

この特徴から、ダークウェブでは違法な物品や情報の取引が行われることもあり、取引されたそれらの物品やデータが新たな犯罪を引き起こす要因となっています。

ダークウェブへの情報流出を防止する一般的な対策としてセキュリティソフトの利用や境界防御の強化、アカウント管理の徹底などの対策が取られている一方で、ダークウェブへの情報流出や、それをきっかけとしたサイバー攻撃の被害が後を立ちません。

では、ダークウェブに情報が流出した場合の被害を最小限に抑えるためにはどうすれば良いのでしょうか。

記事の後半では、ダークウェブへの情報流出による被害を最小化する対策や、脅威インテリジェンスを活用したダークウェブの監視についてお話します

クウェブを起点としたサイバー攻撃やデータ侵害などの被害発生リスクを最小限に抑えたい、脅威インテリジェンスの導入を検討中の企業の方は、ぜひ参考にしてください。

目次

ダークウェブとは?

ダークウェブとは、一般的な検索エンジンで表示されない(インデックス化されていない)ディープウェブの一種であり、プライバシーの保護と高い匿名性を確保するため、アクセスに際し特定のソフトウェアや認証などを必要とするウェブサイトのことです。

一方、ディープウェブやダークウェブとは異なり、GoogleやYahoo!などの一般的な検索エンジンに表示されるウェブサイトは、サーフェスウェブと呼ばれます。

ウェブサイトと聞くと、多くの方は検索エンジンに表示されるサーフェスウェブを思い浮かべると思いますが、実際のところ、サーフェスウェブは全ウェブサイトの5-10%程度とされています

残りの約90-95%は、ディープウェブや更に深層のダークウェブが占めています。

つまり、ウェブサイトほとんどはディープウェブなのです

ダークウェブとディープウェブとサーフェスウェブ

サーフェスウェブ、ディープウェブ、ダークウェブにおける検索エンジン上での露出の割合は、よく氷山に例えられます。氷山は、海上に姿を現している部分は全体のおよそ10%程度に過ぎず、その残りの大部分は海上から見えない海の中にあるためです。

ダークウェブの歴史

ダークウェブは、その秘匿性の高さ故に犯罪者に利用される場ともなっており、一部では疑わしい活動の温床にもなっています。

しかし、ダークウェブは、インターネット上における言論の自由とプライバシー保護を追求する一環として生まれました。特に、通信の秘匿化するツールが公開されたことで、ダークウェブの形成が加速されました*1

通信の秘匿化ツールのうち、特に有名なツールTorす。

「Tor」は、1995年に米国海軍調査研究所(NRL)開発したOnion Routing(オニオン・ルーティング)」技術を基に作られました。

後にこの技術は、非営利団体のプロジェクト引き継がれ「The Onion Router(オニオンルーター)」という名称に改められ、その略称として「Tor」が一般的に使われるようになりました

Tor」はダークウェブにアクセスするために頻繁に利用される技術の1つであり、その名称は「たまねぎのように層を重ねて暗号化を施し、接続経路を匿名化する」ことを象徴し、その機能性を示しています*2

ダークウェブは、Torの特性を悪用した闇市場の出現拡大とともに発展を遂げてきたと言えます

「ダークウェブ」の存在が広く知られるきっかけとなったのは、大規模な闇市場「シルクロード(Silk Road)」の存在です。シルクロードは、2013 年に連邦捜査局(FBI)によって閉鎖されたことが世界的に報道され、その名が広く知られるようになりました。

シルクロードの閉鎖以降、ダークウェブ上の違法な取引を規制する警察の動きは強化されていますが、違法薬物の販売をはじめとする闇市場の活動は後を絶ちません *1

ダークウェブ上の闇市場で取引されているもの

違法薬物や銃器をはじめとする物品が取引される闇市場以外にも、ダークウェブには犯罪者が窃取した情報を公開するリークサイトが存在します。

リークサイトには、主にサイバー犯罪によってターゲットから窃取されたクレデンシャル(認証情報)や機密情報など、不正に入手された情報が公開されます。

近年では、企業に対するランサムウェア攻撃を行った際に身代金が支払われない場合の二重恐喝の手段として利用されることもあります*3

様々な用途でサイバー犯罪者に利用されるダークウェブ上の闇市場やリークサイトでは、次のような情報も見られます。

  • マルウェアを作成するためのツールキット
  • 偽造クレジットカードやクレジットカード情報
  • 住所や電話番号などの個人情報のリスト
  • 従業員識別番号
  • デジタル証明書
  • VPN のユーザー名とパスワード
  • WebサイトへのログインIDとパスワードのリスト等のクレデンシャル

ダークウェブ上のクレデンシャル情報を検知した、脅威インテリジェンス「Recorded Future」のスクリーンショット

画像:ダークウェブ上クレデンシャル情報検知した、脅威インテリジェンス「Recorded Future」のスクリーンショット

流出した情報が悪用されるとどうなるのか

企業にとって最大の脅威は、機密情報がダークウェブ上の闇市場やリークサイトで取引または公開されることです。特に近年では、「二重恐喝」と呼ばれる手法が大きな脅威となっています。

二重恐喝とは、ランサムウェア攻撃において、データの暗号化による身代金要求に加えて、盗み出したデータの公開をも脅迫材料とする手法です。

例えば、ダークウェブ上で販売されたクレジットカード情報は、犯罪者によって不正な購入や詐欺に悪用される可能性があります。

また、企業が保持している顧客の支払い情報やクレジットカード情報がダークウェブで取引されると、これらの情報を使った不正行為のリスクが高まります。

さらに、企業の機密情報や特許情報がダークウェブで取引された場合、競合他社やスパイに悪用される恐れがあります。

二重恐喝の実例|航空機メンテナンス会社へのランサムウェア攻撃

20204月のアメリカの航空機メンテナンス会社へのランサムウェア攻撃は、二重恐喝が行われた具体例です。

この攻撃では、同社のシステムがランサムウェアに感染し、システム内のデータが暗号化されました。

さらに、攻撃者によって1.5TB(攻撃者の主張による)のデータが盗み出され、その一部がダークウェブ上で公開されました。

リークサイトには、身代金が支払われない場合にさらなる情報を公開すると示唆する文言も記載されており、二重恐喝の意図が明らかでした。

攻撃後も、攻撃者は同社のネットワーク内に潜伏してデータを窃取し続け、本インシデントの調査対応作業に関する同社のファイルまでもがリークサイトで公開されていたことが判明しています*3

このようなランサムウェア攻撃では、ダークウェブ上でランサムウェアを取引するRaaSRansomware as a Service)というビジネスモデルが頻繁に利用されています。

RaaSでは、ランサムウェアが手頃な価格で販売され、使用方法の指導や技術サポートも提供されるため、技術的なスキルがない人でもサイバー犯罪を実行できる状況が生まれています。

RaaSの特徴として、「データ暗号化マルウェア」に加えて「情報窃取型マルウェア」もセットで販売されることがあり、これが二重恐喝につながる要因となっています。

この手法では、攻撃対象の組織から機密情報や個人情報を盗み出し、データの復号に対して身代金を要求するだけでなく、支払いがない場合には盗んだデータを公開すると脅迫することもあります*4

ダークウェブへの情報流出を防ぐ方法

企業にとって、ダークウェブ上顧客情報や機密情報が流出することは個人情報保護法への抵触といった法的リスクだけでなく、顧客からの信頼損失や企業の競争力低下といった深刻な影響をもたらします。

そのため、多くの企業は情報の流出を防止するための対策を講じています。具体的には次のような対策があります。

セキュリティソフトを利用する

近年のサイバー攻撃では防御を回避する機能を持つマルウェアが用いられることが多いため、その対策として、高度なセキュリティソフトを導入することが求められます。

境界防御を強化する

境界防御とは、組織のネットワークやシステムへの不正アクセスを防ぐために、外部との接続点であるネットワークの境界においてセキュリティ対策を行うことです。

境界防御の代表的なソリューションであるファイアウォールは、ネットワークトラフィックを監視し、不正なアクセスを遮断することで、ダークウェブへの情報の漏洩を防止します。

また、IDSIPSは、ネットワーク上の異常なトラフィックや攻撃パターンを検知することで、サイバー攻撃を早期に発見し防御することができます。

組織のアカウント管理を徹底する

組織内には、脆弱なパスワードが設定されたアカウントや未使用アカウント、利用が終了したアカウントなどが存在する可能性があります。これらのアカウントはサイバー犯罪者によって悪用され、不正アクセスの被害につながる恐れがあります。

そのため、アカウント管理を厳格に行い、定期的監査を行うことで、不要なアカウントや異常なアカウントを早期に発見できるため、情報漏洩や不正アクセスのリスクを減らすことができます。

ダークウェブの監視で脅威を未然に把握

前述したように、ダークウェブへの情報流出を防ぐ方法として、セキュリティソフトの利用、境界防御の強化、組織のアカウント管理の徹底など有効ですが、それでも流出が起きるケースが後を絶ちません。

そのため、ダークウェブへの情報流出を早期に検知し、被害の拡大を防ぐ方法として、情報セキュリティの研究チームを持つRecorded Future社は、脅威インテリジェンスを活用したダークウェブの監視を推奨しています*5

脅威インテリジェンスを利用することで、ダークウェブ全体を網羅的に追跡し、潜在的な脅威や緊急性、サイバー攻撃の兆候に関する情報を収集することができます。

ダークウェブの監視によって対策できる脅威

一例として、脅威インテリジェンスプラットフォーム「Recorded Future」は、使いやすさと強力な機能から高い評価を得ており*6、以下のような脅威情報をユーザに提供可能です。

①脅威インテリジェンス

Threat Intelligence

・ インテリジェンスの収集と生成を実施。

・ キーワードによる検索や特定の攻撃者・情報源を監視することが可能。

②脆弱性情報

Vulnerability Intelligence

・ 脆弱性の管理、優先度付けを実施。

・ システムの脆弱性情報、脆弱性のリスクスコアなどを把握することが可能。

③クレデンシャル情報(Identity Intelligence

・ サプライチェーン監視を実施。

・ 継続的に企業のリスクスコアなどを把握することが可能。

④地政学

Geopolitics Intelligence

・ ロケーションリスク管理を実施。

・ 海外拠点所在地のテロ、暴動や立法に関する情報を把握することが可能。

⑤セキュリティオペレーション

SecOps Intelligence

・ セキュリティオペレーションを効率化。

 SIEM/SOAR等のアラートトリアージやIoC調査が可能。

⑥ブランド保護

Brand Intelligence

・ 会社のブランドを保護。

・ フィッシングドメインや、自社に関連するID/パスワードの漏洩監視が可能。

⑦サードパーティ

3rd Party Intelligence

・ サードパーティ/サプライチェーン監視を実施。

・ 継続的に関連企業のリスクスコアなどを把握することが可能。

⑧アタックサーフェス

Attack Surface Intelligence

・ 外部に露出している脆弱性を可視化。

・ 把握していない資産の脆弱性の発見が可能。

⑨ペイメントフロード

Payment Fraud Intelligence

・ 漏洩したクレジットカード情報を監視。

・ クレジットカードの不正利用対策が可能。(決済事業者向け)

ダークウェブ上の脅威を24時間監視するRecorded Future

75 カ国1,750 以上の企業および政府機関と連携して、リアルタイムで実用的なインテリジェンスを提供しているRecorded Futureは、24時間体制でサーフェスウェブからダークウェブに至るまで100万以上の情報ソースを監視し、必要な情報を収集します。

Recorded Futureが収集する情報は、サイバー攻撃のみならず組織の運営を脅かす脅威から保護し、セキュリティチームの意思決定を支援するため、「セキュリティインテリジェンス」と呼ばれます。

Recorded Futureのセキュリティインテリジェンスは、9 つのモジュールから必要なものを選択、または組み合わせて利用できます。

その中でも、Threat Intelligence脅威インテリジェンス」は、ダークウェブの監視に特化しており、

次のような特長を持ちます

  • ダークウェブで取引される機密データや資格情報、会社やブランドに関する言及を自動で識別し、緊急度別にスコア化
  • 特定の攻撃者や情報源を監視しサイバー攻撃やデータ侵害などの被害が生じる可能性を提示することでサイバー攻撃の兆候を発見し早期対策できるよう支援

また、モジュールVulnerability Intelligence (脆弱性インテリジェンス)」では新たな脆弱性やエクスプロイトに関する情報を自動的に特定し、組織に関連のある情報を抽出し適切な対策を示します。

さらに、Recorded Futureは13言語に対応した自然言語処理技術(特許取得済み)を用いて情報をリアルタイムで自動解析したうえで翻訳し、組織への関連性や緊急度を示します。

このような機能を活用することで、多言語で運営されている秘匿性の高いダークウェブを効率的かつ網羅的に調査し、サイバー攻撃やデータ侵害などのリスクを迅速に排除することが可能となります。

出典(参考文献一覧)

※1 IPA | ダークウェブに関する現状 (参照日:2023-11-30)
※2 Tor Project | History (参照日:2023-11-30)
※3 IPA | 事業継続を脅かす 新たなランサムウェア攻撃 について(参照日:2023-11-30)
※4 警視庁 | マルウェア「ランサムウェア」の脅威と対策(脅威編)(参照日:2023-11-30)
※5 Recorded Future | Dark Web Definition and Examples (参照日:2023-11-30)
※6 Recorded Future | Recorded Future Named a Leader (参照日:2023-11-30)

関連記事の一覧