流出した個人情報が集まる、ダークウェブとは何か?
ID・パスワードのリストや個人情報、偽造クレジットカード情報など、非合法の情報が集まる「ダークウェブ」。最近も大手企業がサイバー攻撃を受けて情報が漏えいし、ダークウェブに公開され注目を集めました。このダークウェブとは、どんなものなのでしょう。
インターネットの奥深くに潜むダークウェブとは
ランサムウェアを使ったこれまでのサイバー攻撃は、業務で利用しているファイルやシステムが使えなくなり、もとに戻すのと引き換えに身代金を要求するだけだった。しかし最近では、身代金を支払わなければファイルの内容を外部に公開すると恐喝する、二重恐喝型ランサムウェアと呼ばれる手法が広まりつつある。このとき、ファイルの内容を公開するために使われるのが「ダークウェブ」である。
ダークウェブとは、一般的な方法ではアクセスできず、またGoogleなどの検索エンジンで見つけることも不可能なWebサイトの総称である。なお、インターネットに接続するだけでアクセスでき、検索エンジンで見つけられるWebサイトのことを「サーフェイスウェブ」、一般的な方法でアクセス可能だが、パスワードなどでアクセスが制限されていて、検索エンジンで見つけられない会員制サービスなどを運営しているWebサイトのことを「ディープウェブ」と呼ぶ。
サーフェイスウェブとディープウェブ、ダークウェブの関係は氷山に例えられる。氷山の海上から出ている部分がサーフェイスウェブ、海面の下にあるのがディープウェブ、それよりもさらに深い位置にあるのがダークウェブであり、我々が普段アクセスしているWebサイト(サーフェイスウェブと一部のディープウェブ)は“氷山の一角”に過ぎないというわけだ。
ダークウェブへのアクセスには、「Tor(The Onion Router)」や「I2P(The Invisible Internet Project)」といったソフトウェアを利用する。これらは通信経路の匿名化などを実現するものであり、これらを利用することで、匿名でダークウェブにアクセスできる。
個人情報や違法薬物が取引されるダークウェブ
このダークウェブでは、違法なモノや情報が数多くやり取りされている。TorでアクセスするWebサイトのことを「onionサイト」と呼ぶが、Terbium Labsの調査によれば、違法薬物の販売やハッキングなどによって奪取した情報の取引、性的搾取を目的としたサイトがonionサイトとして存在しているとしている。
onionサイトに占める違法・合法コンテンツの割合
出典:「ダークウェブに関する現状」Terbium Labs社の調査結果データをもとに作成(独立行政法人情報処理推進機構)
実際にやり取りされている情報としては、住所や電話番号、クレジットカード番号などの個人情報のほか、会員制WebサイトへアクセスするためのログインIDやパスワードのリストなどが挙げられる。Webサイトへの不正侵入などにより、会員の個人情報が流出するといった事件はたびたび発生しているが、窃取された情報の多くはダークウェブ上で取引されていると考えられる。
さらにダークウェブでは、ランサムウェアなどのマルウェアを開発するためのツールキットが販売されているうえ、サイバー攻撃に利用するための脆弱性情報や、サーバーに不正アクセスを行うための情報なども取引されている。まさにダークウェブは、巨大な闇マーケットと言えるだろう。
冒頭で解説した二重恐喝型ランサムウェアによるサイバー攻撃も、攻撃者は自身の身元を秘匿するために、窃取した情報をダークウェブで公開することが一般的だ。実際、2020年11月にはある企業がランサムウェアの被害に遭ったと公表、その際に窃取された情報の一部がダークウェブに公開されている。犯人は犯行声明でさらに多くの情報を保持していることを示唆し、多額の身代金を要求した。
また、インターネットサービスを提供しているある企業では外部からの不正アクセスによって数百万件の個人情報が漏えいしたとし、別の企業では海外拠点がサイバー攻撃に遭い、社内機密が窃取されてダークウェブ上に公開されるという事件が発生している。
クライアントPCや海外拠点も含めたセキュリティ強化が必要
このような情報漏えいが発生すれば、企業の信頼を大きく損なうだけでなく、個人情報が漏えいすれば損害賠償も発生する。賠償額はケースによって異なるため一概には言えないが、場合によっては1人当たり数万円の賠償金を支払うこともあり、金銭的なダメージも無視できない。
こうした被害を防ぐためのセキュリティ対策において、意識しておきたいのがクライアントPCの保護である。大規模な情報漏えいというと、攻撃のターゲットはサーバーと考えがちだが、実際にはまずクライアントPCを狙い、それを踏み台として社内に侵入するといったケースも多い。また海外拠点が狙われ、そこから日本の本社に侵入するといったことも十分に考えられることから、グローバル全体でのセキュリティ強化を図っていくべきだろう。
NTT Comでは、グローバル全体のクライアントPCを含むエンドポイントの適切な管理を実現するためTanium(タニウム)を活用した「エンドポイントマネジメントソリューション」を提供している。セキュリティを強化していく上で欠かすことができないのはパッチや修正プログラムの適用による脆弱性の解消だが、このソリューションを利用すればパッチが適用されていない端末を即座に検出することができ、脆弱性が残ったままクライアントPCが使われてしまうリスクを低減できる。
また機械学習を用いた振る舞い検知により、内部の不正な通信を捕捉して警告を行う「AIアノマリー検知」や、端末管理やグローバルヘルプデスクとインシデントハンドリングをワンストップで提供する「トータルマネージドセキュリティ」などをNTT Comでは提供している。情報漏えいによって事業活動に支障が生じる前に、これらのソリューションを活用してセキュリティ強化を図りたい。