HipoWatch ダークウェブ観測レポート 2020年8~9月号

      

はじめに

本レポートは、ダークウェブ [1] を定期観測している HipoWatch [2] というヒポの独自システムにおいて、2020/8/1~2020/9/30 の期間で収集したダークウェブサイト情報について調査・分析した内容をまとめている。本内容は、ダークウェブの統計情報や攻撃情報サイトの情報収集等に活用していただくことを目的としている(8月後半や9月前半あたりは諸事情により HipoWatch の稼働が停止していましたが、10月からは再開しております)。
なお、8~9月号の観測対象ダークウェブは Tor のみである。

      

観測したダークウェブの統計

観測期間中に収集し、実際にアクセスできたダークウェブの総数の推移を図1に示す。
8/8 の「前回から削除されたダークウェブサイトの総数」の数が多くなっているのは、今までに収集した onion サイトすべて(アクセス不可になったものも含む)に対してアクセスを実施したためである。総数としては、7月に比べてアクセスできるダークウェブサイトが減少していた。
      

                      図1:発見したダークウェブサイトの推移

      

ジャンル別割合

観測期間で発見したダークウェブサイトのジャンル別での割合を図2に示す。
7月の結果と同じく、フォーラム関連とマーケット関連のサイトが全体の約60%を占めており、ダークウェブ上での情報のやり取りや売買はまだまだ盛況であるといえる。サイバー攻撃情報に関しても7月と同じ程度の割合であった。
      

                    図2:ダークウェブサイトのジャンル別割合

      

サイバー攻撃情報に関するサイトの統計

観測期間中に、実際にアクセスできたダークウェブでのサイバー攻撃情報に関するサイトの総数の推移を図3に示す。
8月は減少傾向であったが、9/6 は大きく増えていることが分かる。4月から観測を続けている中で分かったこととして、サイバー攻撃情報に関するサイトは、URL が変わらず永続して運用を続けているサイトと数日~数ヵ月単位で消えていくサイトが存在している。割合的には、数日~数ヵ月単位で消えていくサイトの方が多い。ダークウェブの Hidden Service で運用しているため、手の込んだ調査等がない限りは摘発される恐れはないと考えられるが、管理者も注意深く運用しているものと推察できる。
      

                   図3:発見したサイバー攻撃情報に関するサイトの推移

      
      

発見したサイバー攻撃情報に関するサイトの詳細

2020年8~9月の観測期間中にダークウェブから発見したサイバー攻撃情報に関するサイトから、セキュリティ対策に参考になると思われるサイトをいくつかピックアップして紹介する。
      

                      図4:トルコ市民に関する情報(データベース)を公開しているサイト

       
図4は、何らかにより漏洩したトルコ市民に関する情報をデータベース化して公開しているサイトである。当該サイトに関しては、2016年にニュースにもなっている [3]。2016年時点では、サーフェイスウェブにも公開されていたようである。情報の数は約5,000万人と記述されており、2019年度のトルコの人口約8300万人 [4] の半数以上が漏洩していることになる。
      

                    図5:漏洩データやマルウェアを販売しているサイト(一部加工済)

      
図5は、漏洩データやオリジナルで開発したマルウェアを販売しているサイトである。上段では、トルコ市民のデータ、台湾市民のデータ、メール情報などすべてで 1TB ものデータベースを販売している。下段のマルウェアの販売では、WannaCry のソースコードを改良して開発したと記述されており、さらに Lizard Squad というワードが付いていることから、過去に活動していた Lizard Squad というハッキンググループが使用していた BOT も同梱されている可能性が高いと推察できる。
      

                       図6:ワンタイムメッセージを生成できるサイト

      
図6は、ワンタイムメッセージを生成するサイトである。ワンタイムメッセージとは、一度閲覧すると再度閲覧することはできなくなるメッセージのことである。当該サイトは、匿名性と機密性を保持してメッセージやファイルを送付することができるため、ダークウェブ上でのやり取りに使用されるケースも多い。
      

                       図7:漏洩した口座情報を販売するサイト(一部加工済)

      
図7は、銀行アカウントを販売するサイトである。Google Voice のアカウントも付与されており、SMS 認証を回避するために Google Voice の電話番号を利用することができるという。また、購入前に、銀行アカウントの認証情報を変更する場合は、販売価格が高く設定されている。

                   図8:Clop ランサムウェアの感染により漏洩したデータを掲載しているサイト(一部加工済)

      
図8は、Clop ランサムウェアによって漏洩したデータを掲載しているサイトである(所謂リークサイト)。Clop ランサムウェアは最近でも多くの企業に感染被害を与えており、2020年10月初旬においては SoftwareAG のシステムに感染し、2300万ドルの身代金を要求したとしてニュースでも話題となっている [5], [6]。2020/10/14 に Hipopos が確認したところ、ニュース記事の内容のとおり SoftwareAG のリークデータが掲載されており、身代金を払わなかった報復が実行されていた。本リークサイトには、SoftwareAG 以外にも被害の合った企業のデータが一覧として掲載されており、凄惨である。

      

おわりに

本レポートでは、2020/8/1~2020/9/30 の期間(観測できていない期間もあるが)で収集したダークウェブサイト情報について調査・分析した内容をまとめた。
4月以降からダークウェブ(Tor)を観測してみて、観測できるダークウェブサイトの総数は大きく変化はないが、サイト自体の新規構築~停止の数は多いと思われる。
今後の活動として、現在は Tor のみ観測をしているため、そろそろ I2P あたりも監視対象に入れようと思う。引き続き、Hipopos はダークウェブを観測・調査・分析し、有益な情報を提供するよう努めていく。

      

今後の予定

・onion サイトの収集方法の向上
・Tor 以外のダークウェブ(I2P、ZeroNet、Freenet など)の観測

      

参考文献

[1] ダークウェブの仕組みとサイバーセキュリティ, https://hipopos.com/learnings/82cf0332832e803b29a2
[2] HipoWatch, https://hipopos.com/hipowatch
[3] security affairs, DB with records of 50 Million Turkish Citizens Leaked Online. Are they recycled data?, https://securityaffairs.co/wordpress/45981/data-breach/db-50-million-turkish-citizens.html
[4] 外務省, トルコ基礎データ, https://www.mofa.go.jp/mofaj/area/turkey/data.html
[5] threatpost, Software AG Data Released After Clop Ransomware Strike – Report, https://threatpost.com/software-ag-data-clop-ransomware/160042/
[6] ZDNet, German tech giant Software AG down after ransomware attack, https://www.zdnet.com/article/german-tech-giant-software-ag-down-after-ransomware-attack/

      

登録日時2020-10-14 22:18:07
更新日時2020-10-14 23:25:14