ダークウェブの仕組みとサイバーセキュリティ

      

概要

ダークウェブは、我々が日頃からよく利用しているブラウザ(IE、Firefox、Chrome 等)ではアクセスできず、専用のソフトウェアを利用しなければアクセスできないかつ、アクセスの送信元と送信先の情報が匿名化されているネットワークのことである。

このダークウェブの中には、様々なウェブサイトが存在しており、中には違法な取引やサイバー攻撃に関する情報もやり取りされている。このことから、多くのセキュリティベンダーより、ダークウェブに企業情報が存在するか調査したり、サイバー攻撃に関する情報を提供したりといったサービス(インテリジェンスサービスという)が増加している。

本記事では、ダークウェブの仕組みやサイバーセキュリティとの関係性を説明し、読者がダークウェブへの理解を深め、最終的には自分自身でダークウェブを調査・研究するきっかけになってくれることを目的とする。

      

ダークウェブ・ディープウェブ・ダークネット

ダークウェブと混同する用語として、ディープウェブとダークネットという用語がある。これらの違いを文献 [1] の内容を参考に分かりやすく概略化したものが図1である。
      

                       図1:各用語の概念図

      
サーフェイスウェブは、私たちが日頃からブラウザを通して見ている、Google、yahoo、youtube のようなウェブである。

ディープウェブは、Google のような検索エンジンでは検索できないウェブのことである。例えば、Gmail のマイページといった Google の検索フォームから検索してもヒットしない会員限定ページ等がディープウェブにあたる。

ダークウェブ(Tor や I2P 等)および独自ウェブ(Skype や LINE 等)は、一般的なブラウザ(IE、Firefox、Chrome 等)ではアクセスできず、専用のソフトウェアを利用しなければアクセスできないネットワークのことである。ダークウェブの場合は、さらに匿名化技術を用いて、アクセスの送信元と送信先の情報を匿名化しているウェブのことである。

ダークネットは、未使用の IP アドレスのネットワークのことである。未使用 IP アドレスであるため、ダークネットにアクセスしてもアクセスエラーが途中のネットワーク機器より返却される。

このダークネットを利用した研究として、NICT が実施している NICTER [2] というダークネット観測システムが有名である。この研究は、一般的なネットワークの利用ではほとんどダークネットにアクセスすることは無いという特徴、つまりダークウェブへのアクセスは、マルウェアや攻撃者によるネットワーク探索行為等のサイバー攻撃に関連する通信である可能性が高いという特徴を利用している。

NICTER は、このダークネットへの通信を観測・分析することで、マルウェアがどのポート番号に対してアクセスを増やしているかであったり、どのような通信を発生させているかであったりとマルウェアや攻撃者の特徴を調査することができ、我々にサイバー攻撃に関する詳細レポートを提供してくれている。ダークネットを用いたサイバー攻撃に関する研究は、NICTER 以外でも数多く実施されているので、興味がある方は論文等を参照されたい。

また、ダークネットという用語に関しては、未使用のIPアドレスという意味で最初は用いられていたが、メディアの報道等により、ダークウェブを指す用語としても用いられている。文脈等により、ダークネットという用語が未使用IPアドレスなのかダークウェブを指しているのかを柔軟に判断していただければと思う。

      

ダークウェブが存在する匿名化ソフトウェア

匿名化ソフトウェアとは、送信元を匿名化し、個人の悩み、健康相談、政治的発言、インターネット検問からの脱却等を実施するために作成されたソフトウェアである。しかし、情報を発信したい人(サーバ側)も匿名化したいというニーズも出てきたため、情報発信側も匿名化する技術が開発された。これがダークウェブの始まりである。

ダークウェブが存在することで有名な Tor(The Onion Router)では、Hidden Service という独自ウェブが 2003年頃から開発が進み [3] 、2004年に開発内容が論文化 [4] され、Hidden Service の運用がスタートしたとされる。ダークウェブが存在する匿名化ソフトウェアとしては Tor が有名であるが、それ以外にも様々存在している。以下では、ダークウェブが存在する代表的な匿名化ソフトウェアについて記している。

  • Freenet [5]:フリーサイトという Freenet 上に独自の Web サイトが構築されている。
  • I2P(The Invisible Internet Projec)[6]:eepsite という I2P 上に独自の Web サイトが構築されている。
  • ZeroNet [7]:ZeroNet サイトという ZeroNet 上に独自に Web サイトが構築されている。

      

ダークウェブを支える技術

匿名化ソフトウェアごとに細かい実装方法は異なるが、ダークウェブを支える最も根幹となる技術が『オーバレイ・ネットワーク』と『匿名化通信』である。オーバレイ・ネットワークとは、図2のように、下位層のネットワーク(アンダーレイ・ネットワークともいう)の上に仮想的に構築したネットワークのことである。
      

                  図2:オーバレイ・ネットワークの概念図

      
オーバレイ・ネットワークで構築されるネットワークは、アンダーレイ・ネットワークのようにドメインや IP アドレス単位で通信制御するのではなく、端末(ノードとも言われる)に独自に一意な識別子を割り振り、この識別子を解決できる独自プロトコルを使用することで通信制御するといった実装が多い。

このオーバレイ・ネットワークは、SNS やチャット/Web会議のような P2P 技術を用いたネットワーク、または VPN のような様々なソフトウェアにも利用されている技術であり、我々も日頃から恩恵を受けている技術である。
※身近な例だと、LINE もオーバレイ・ネットワークを利用しており、独自の識別子で個人同士を結び付け、独自プロトコルを利用することで通信を確立させている。この LINE に後述する匿名化通信の技術等を組み合わせれば、ダークウェブとしても運用できるだろう。

ダークウェブサイトとしても利用されている Tor の Hidden Service は、ドメインの代わりとして独自に一意な識別子(~.onion)が割り振られており、専用ソフトウェア(Tor Browser 等)からこの識別子を入力することで、Hidden Service にアクセスできる。

さて、オーバレイ・ネットワークだけでもダークウェブは構築できるが、どの端末からどの端末へ通信したかという情報は、通信経路上に記録・確認できてしまう。ダークウェブの性質上、センシティブな情報がやり取りされることが多いため、個人が特定できてしまうことは望ましくない。

そこで、匿名化通信(受信者や途中経路の傍受者が、受信者と送信者のIPアドレス等をペアとして特定できないこと)と呼ばれる技術を利用している。匿名化通信の技術は複数存在しているが、代表的な技術として、Tor が利用するオニオンルーティングがある。

Tor のオニオンルーティングは図3のように、デフォルトで3つの Tor ノードをランダムに選定し、それぞれと共通鍵を交換し、送りたい通信パケットを共通鍵で多段に暗号化して送信する。
      

                  図3:オニオンルーティングの概念図

      
通信パケットの暗号化と複数の Tor ノードを経由することで、各ノードおよび送信先サーバでは前後の通信するノードの情報しか分からないため、高い匿名性を実現できている。Tor の詳しい解説は、[8], [9] を等を参考にしていただければと思う。

      

ダークウェブとサイバーセキュリティ

ダークウェブは、前述の説明の通り匿名性が非常に高いため、マルウェア・攻撃ツールの販売、脆弱性情報やハッキング技術に関する情報交換等に利用されている。ランサムウェア感染後の支払い方法等もダークウェブサイトへ誘導することも多い。なお、サイバー攻撃に関する情報交換を行うフォーラムは、VIP 会員でないと閲覧できない構成のサイトも多い特徴がある。

図4は、サイバー攻撃をマーケティング(アカウントハッキング、Webサイトハッキング、マルウェアの販売、DDoS攻撃サービス等)しているサイトのイメージで、こういったウェブサイトがダークウェブ上には数多く存在する。
      

                  図4:ダークウェブに存在するサイバー攻撃に関するサイトのイメージ図

      

2020年4月には、Web会議ソフトである Zoom のアカウント情報がダークウェブ上に流出・売買されているという事例も話題となった [10]

このように、ダークウェブの調査はサイバー攻撃に関する調査にも非常に有益な情報源とされ、各セキュリティベンダーからインテリジェンスサービスとしてサービス提供されている。

      

おわりに

本記事では、ダークウェブの仕組みやサイバー攻撃・セキュリティとの関連性について解説した。

ダークウェブは、違法的なやり取りが多いためダークウェブという呼ばれ方をされているだけであり、根本的な技術は、我々が日頃から利用している SNS、Web会議、VPN 等といった技術と大きく違いはなく、違うとすれば匿名性であろう。この匿名性を利用し、ダークウェブではサイバー攻撃に関する情報が数多く存在していることは事実であるので、インテリジェンスサービス等を利用した脅威情報のサーベイは必要であると考える。

ヒポポスも2020年3月末頃から HipoWatch [11] というダークウェブの調査(2020年4月時点では Tor のみ)ツールを運用開始している。ダークウェブの特性上、開示できる情報はそれほど多くできないが、引き続き、機能拡張や有益な情報の提供を鋭意行っていく予定であるので、十分に活用していただければと思っている。

Let's dive to deep!!

      

参考文献

[1]TrendMicro, "「ディープウェブ」、「ダークウェブ」は危険?一般のネット利用者が知っておくべきこと", https://blog.trendmicro.co.jp/archives/24551
[2]NICT, "NICTERWEB弐", https://www.nicter.jp/
[3] Torproject, "Add first draft of rendezvous point document", https://gitweb.torproject.org/tor.git/commit/?id=3d538f6d702937c23bec33b3bdd62ff9fba9d2a3
[4] Lasse Overlier, Paul Syverson, "Locating Hidden Servers", https://www.onion-router.net/Publications/locating-hidden-servers.pdf
[5] FREENET, https://freenetproject.org/
[6] I2P, https://www.i2p.net/
[7] ZeroNet, https://zeronet.io/
[8] SEの道標,"【図解】ダークウェブとTor (Onionドメイン)の仕組み,シーケンス~Entry guard/Middle/ExitとBridge~", https://milestone-of-se.nesuke.com/nw-advanced/nw-security/onion-dark-web/
[9] @SuperConsole, "Tor: 通信経路匿名化の仕組みと応用", https://qiita.com/SuperConsole/items/45c5922d5d7115cd8faf#%E3%83%80%E3%83%BC%E3%82%AF%E3%82%A6%E3%82%A7%E3%83%96
[10] BleepingComputer, "Over 500,000 Zoom accounts sold on hacker forums, the dark web", https://www.bleepingcomputer.com/news/security/over-500-000-zoom-accounts-sold-on-hacker-forums-the-dark-web/
[11] HipoWatch, https://hipopos.com/hipowatch
[12] JETRO/IPA, "ダークウェブに関する現状(2020年1月)", https://www.jetro.go.jp/world/reports/2020/02/f42a2d9287cf33ac.html, https://www.ipa.go.jp/files/000080167.pdf

      

登録日時2020-04-29 19:19:31
更新日時2020-05-20 22:48:13