CISOがダークウェブについて知っておくべき9つのこと

ダークウェブとは、一般的な検索エンジンでインデックスされていないウェブページを指します。匿名性のもと、サイバー犯罪者や脅威アクターが活動し、組織に大きな被害をもたらすツールやサービスを販売しています。

大規模な摘発によりダークウェブの一部は混乱しましたが、新たな技術や犯罪戦略の変化により依然としてしぶとく存在しています。CISOにとって最大の認識の変化の一つは、ダークウェブがもはや侵害後だけの問題ではなくなったことです。

脅威アクターは、漏洩した認証情報、古いアクセス経路、誤設定された資産などを基に、組織を標的にします。こうした情報の多くは安価で簡単に入手でき、攻撃の扉を開いてしまいます。

SOCRadarの2024年ダークウェブレポートによると、サイバー犯罪者は電話番号、住所、その他の個人情報を使って10ドル未満で盗まれたプロファイルを作成できます。

スティーラーログ、認証情報漏洩、ダークウェブ上のやり取りの継続的な監視は、脅威インテリジェンスの中核機能であり、インシデント後の一時的な調査だけでは不十分です。「ここは生きた偵察ゾーンです」とSOCRadarのCISO、Ensar Seker氏は述べています。

変化する状況を理解するために、CISOが知っておくべき盗まれた情報の取引、新たなマーケットプレイス、悪意あるツールの入手可能性、そしてAIがダークウェブに与える影響についてまとめました。

国際的な警察活動がダークウェブを標的にしている

国際的な警察組織は、共同で複数の主要プラットフォームの撹乱に取り組んでいます。オーストラリア連邦警察（AFP）は、Europol主導の調査に参加し、2024年にLockBitの主要プラットフォームと米国、英国、欧州、オーストラリアにまたがる34台のサーバーを閉鎖しました。

「ランサムウェアグループが所有していたとされる200以上の暗号通貨アカウントが法執行機関によって凍結され、グループの大きな利益が奪われました」とAFPの広報担当者はCSOに語っています。

AFPはまた、LabHostに対する国際的な警察作戦にも参加しました。LabHostは、テキストやメールによる持続的なフィッシング攻撃を通じて被害者からPII（個人識別情報）を盗むために使われていました。「摘発時点で、LabHostは4万以上のフィッシングドメインと、1万人以上の世界中のサイバー犯罪者がその技術を利用していました」と広報担当者は述べています。

オーストラリアは、ZServersによる不正なサイバー活動に関連して、複数の個人に金融制裁と渡航禁止を課しました。このグループは、健康保険会社Medibank Privateを侵害したサイバー犯罪者にバレットプルーフホスティング（BPH）サービスを提供していました。「BPHプロバイダーは抵抗力がありますが、法執行機関による摘発や協力要請に対して無敵ではありません」とAFPは述べています。

主要マーケットプレイスの撹乱後、新たなグループが形成される

国際的な摘発活動はインフラに打撃を与え、サイバー犯罪の大規模な運営を妨害し、主要なプレイヤーをエコシステムから排除し、ユーザーベースを分散させます。

しかし、ダークウェブは非常に適応力が高く、高度なアクターはミラーサイト、バックアップ、代替フォーラムなどの予備プランを常に用意していると、Krollのサイバー・データレジリエンス部門アソシエイトマネージングディレクター、Edward Currie氏は述べています。

「一部はプライベートフォーラムや他のランサムウェアグループに移行し、新たなランサムウェアグループを作ったり、ブロックチェーンベースのホスティングや追跡・摘発が困難な断続的アクセスプラットフォームなどの分散型技術を採用したりしています。これらのピアツーピア、招待制、推薦制のネットワークは、より迅速で安価、かつ法執行機関による撹乱に強い」とKrollは述べています。

それでも摘発は、サイバーセキュリティコミュニティにとって貴重な脅威インテリジェンスの獲得につながり、他では得られない情報ももたらします。「摘発で得られた脅威インテリジェンスは他の法執行調査にも寄与します。しかし、摘発のペースや脅威アクターの進化は、法執行機関の能力を上回り続けるでしょう」とKrollは述べています。

ダークウェブは違法な商品やサービスが取引される活発なマーケットプレイス

法執行機関の活動に加え、ダークウェブの動向は技術革新や犯罪戦略の変化によっても変わると、BlueVoyantのシニアサイバー脅威インテリジェンスアナリスト、Matteo Salom氏は述べています。

スケーラビリティとプロフェッショナリズムへの注力が高まっており、ランサムウェア・アズ・ア・サービス（RaaS）事業のための積極的なプロモーションやリクルートが行われています。これには、技術力のあるパートナーを引きつけるための高収益なアフィリエイトプログラムや、アフィリエイトがプレミアムツールやゼロデイエクスプロイト、侵害済みネットワークへのアクセスを有料で利用できる階層型アクセスが含まれます。

ダークウェブは、認証情報マーケットプレイス、ゼロデイ用エクスプロイト交換、マルウェアキット、侵害済みシステムへのアクセス、詐欺ツール用フォーラムなど、専門化されたコミュニティに細分化されています。

初期アクセスブローカー（IAB）が活況で、企業環境への侵入口を販売し、それがランサムウェアアフィリエイトやデータ恐喝グループによって収益化されています。ランサムウェアのリークサイトでは、攻撃者の成功例としてサンプルファイルや全データ公開の脅し、支払いを拒否した被害組織の名前や盗まれたデータが公開されています。

「同時に、一部のアクターはブロックチェーンベースのホスティング、分散型DNS、ピアツーピアマーケットプレイスの実験も行っており、摘発や監視に対してより強靭性を持たせています」とSalom氏は述べています。

インフォスティーラーログでは、VPN、SaaSプラットフォーム、企業認証情報への需要が急増しています。ログは直接収益化され、フィッシングや権限昇格、ランサムウェア展開に利用されているとSOCRadarのSeker氏は述べます。「注目すべきはコモディティ化で、2～5ドルで企業アカウントへのフルブラウザセッションクッキー、MFAバイパスオプション、暗号ウォレットアクセスが購入できます」とSeker氏は言います。

人気の悪意あるツールやサービスには、音声やSMSを自動化して2FAコードを盗むOTPバイパスボット、被害者のウォレットを空にする暗号ドレイナーキット、ディープフェイクサービスなども含まれると、P0 LabsのSVP、Ian Ahl氏は述べています。

プライベートなコミュニケーションが一般化している

ダークウェブの活動がより小規模で細分化されたコミュニティに分かれる中、サイバー犯罪者は自らの活動や違法ツールを宣伝するため独自のアイデンティティを構築しています。

AlphV/BlackCatやLockBitなどの主要ランサムウェアプレイヤーが撹乱された後、小規模なアフィリエイトはRansomHubやDragonForceに移ったり、より大きなランサムウェア名のパートナーや独自ブランドとして活動したりしていると、Nightwingのサイバーインシデントレスポンスマネージャー、Nick Carroll氏は述べています。

「脅威アクターは自身のブランド名に注目を集め、より大きな知名度を得ようとしています。新たなランサムウェアグループのブランド名やリークサイトを定期的に立ち上げるのもその一例です」とCarroll氏は述べています。

2025年これまでの半年間で、Nightwingは90以上のランサムウェアおよびデータ恐喝グループの活動を追跡しており、そのうち16グループのリークサイトは設立から90日以内のものです。しかし、この細分化により追跡は困難になっています。「小規模で細分化されたグループは、法執行機関による国境を越えた追跡や逮捕、サイバー脅威インテリジェンスによる帰属や追跡において、法的な複雑さを生み出します」と彼は述べています。

リーダーシップの変化も、警察や脅威監視の追跡を困難にします。例えば2022年にはBreachForumsがRaidForumsに取って代わり、2024年に管理者交代を経て再始動しましたが、その後も複数回の管理者交代があったとCarroll氏は述べています。「離脱（churn）は帰属や追跡における大きな課題であり、脅威アクター自身が捕まらないために意図的に行っている場合も多いです。」

細分化はプライベートなコミュニケーションも促進しています。「多くのサイバー犯罪者は、Telegram、TOX、Matrixなどの暗号化メッセージングプラットフォームや招待制フォーラムに移行し、従来のTorベースのマーケットプレイスへの依存を減らしています」とSalom氏は付け加えています。

DDoS代行サービスの規模と人気が拡大中

DDoS代行サービスは以前から存在しますが、その規模と人気は拡大しています。「多くのサービスは無料トライアルを提供し、一部は日次制限なしのフルスケール攻撃、数十種類の攻撃タイプ、さらには1Tbps級の出力を数千ドルで提供しています」とNetscoutのサイバーセキュリティ研究者で脅威インテリジェンスディレクターのRichard Hummel氏は述べています。

運営はよりプロフェッショナル化し、多くのプラットフォームは正規のECサイトを模倣し、ユーザーレビューや販売者評価、紛争解決システムを表示して違法アクター間の信頼を築いています。

サイバー犯罪者はボットネットインフラの拡大方法にも革新を加えています。悪名高い親ロシア派ハクティビストグループNoName057(16)は、Project DDoSiaというサービスを通じてデジタル通貨報酬を提供し、独自の暗号通貨トークンdCoinを作成して他の違法サービスの支払いにも利用できるようにしています。「ボットネットの配布はTelegram上の簡易なオンボーディングプロセスで行われ、個人が登録し、攻撃トラフィックの提供と引き換えに暗号通貨で報酬を受け取ります」とHummel氏は述べています。

DDoS代行サービスは現在、AIや自動化機能を追加し、より高度な攻撃を簡単に実行できるようになっています。例えば、一部のサービスはAIを使ってCAPTCHAシステムを突破し、サイトが正規トラフィックと悪用トラフィックを判別しにくくしています。「AIと自動化の強力な組み合わせにより、多くの従来型防御策が無効化され、レートリミットなどの一般的な保護手段も回避されます」とHummel氏は述べています。

「アズ・ア・サービス」型マーケットプレイスが活況

ランサムウェア・アズ・ア・サービス、スティーラーマルウェア・アズ・ア・サービス（SMaaS）、フィッシング・アズ・ア・サービスの運営が盛況で、違法な付加サービスの拡大を後押ししています。また、これらの攻撃の実行ハードルを下げたり、効率化したりする多様なサポートサービスも存在します。これには、暗号化サービス、ドロッパーサービス、RaaSやSMaaS用のエクスプロイトキットなどが含まれるとCarroll氏は述べています。

エクスプロイトキットは、経験の浅い者でも公開されている未修正サービスを悪用できるようにし、AI搭載のフィッシングツールキットは説得力のあるフィッシングメッセージや攻撃チェーンを作成します。クリプターは、パッキング、エンコーディング、ステガノグラフィーなど多様な手法でマルウェアを難読化し、攻撃をより秘匿化・検知困難にします。

あるケースでは、Rhadamanthysスティーラーの開発者が購入者にマルウェアの暗号化を明示的に求めており、開発者自身が暗号化サービスとの提携を強調する投稿も見られます。「こうしたニッチなサービスエコシステムの拡大により、技術力の低いアクターでもサイバー犯罪に手を染めやすくなり、専門化によってより高度な攻撃も可能になっています」とCarroll氏は述べています。

生成AIが技術に疎い者でも攻撃を容易にしている

AIはサイバー攻撃の規模や高度化を加速させる能力を持ち、ダークウェブのツールやサービスにも組み込まれ始めています。

生成AIは、ディープフェイク音声、偽造された認証情報、AI生成の経歴など、合成アイデンティティの作成に使われています。「アイデンティティ詐欺は、合成ペルソナ生成やディープフェイクによって強化され、犯罪者がKYCや生体認証チェックを回避するのに役立っています」とKrollのCurrie氏は述べています。

AIアズ・ア・サービス（AIaaS）プラットフォームは、こうした攻撃を実行するための障壁を下げる多くの機能を提供しています。

違法フォーラム上のゼロインタラクションチャットボットは、マルウェア開発の指南役となり、動的で敵対的なトレーニング環境を作り出します。「マルウェア作成者はAI支援のコード生成を利用し、コンパイルごとにシグネチャが変化するポリモーフィックなペイロードや悪意あるバイナリを生成し、静的検知を無効化しています」と0rcus共同創業者兼CEOのNic Adams氏は述べています。

eSentireのThreat Response Unitも、StealC管理パネルにAIが統合され、盗まれたログのフィルタリングを支援していることを確認しています。また、eSentireのシニア脅威インテリジェンス研究者Vishavjit Singh氏によると、「evil GPT」製品がダークフォーラムやプライベートメッセージ経由で販売されているとの報告もあります。「WormGPT（オープンソースGPTを基にしたチャットボット）はフィッシングやマルウェアのアシスタントとして販売されており、FraudGPT、DarkBard、WolfGPTなどは詐欺ページやフィッシングキャンペーン、マルウェアコードやハッキングツールの作成などに使われています」とSingh氏は述べています。

一方、当局は変化する攻撃手法に対応するため、いたちごっこを続けています。詳細は明かされませんが、多くの当局は専門訓練を受けたサイバー部隊、情報共有、業界との連携、共同作戦を展開しています。「AFPはあらゆる犯罪手法に対応できるよう、常に新たな革新的ソリューションの開発に取り組んでいます」とAFPの広報担当者は述べています。

暗号通貨が支払いの主流だが新たな選択肢も登場

取引の大半はビットコイン（BTC）などの暗号通貨に依存しています。「犯罪組織は暗号通貨が匿名で法執行機関に追跡されないという誤解からこの方法を選んでいます」とAFPは述べています。

匿名性を高めるため、Monero（XMR）やZcash（ZEC）などプライバシー重視のコインの採用が増えています。2023年から2024年にかけて、Moneroのみを受け入れる新たなダークネットマーケットの割合は3分の1強からほぼ半数に増加し、監視回避志向の明確なトレンドが見られるとKurrie氏は述べています。

取引経路を隠すためのミキサーやタンブラーの利用も増加中です。Zcashのようなプライバシーコインやゼロ知識証明を活用した新興プロトコルも、取引の隠蔽能力で注目されています。「この変化は法執行機関による不正資金の追跡を難しくし、当局は新たなブロックチェーン・フォレンジックツールやクロスチェーン分析への投資を迫られています」とKurrie氏は述べています。

多くのプラットフォームは現在、複数通貨、エスクローサービス、自動マネーロンダリングツールなどを提供し、違法な支払いエコシステムを支えています。「最近のダークウェブ決済システムは、顧客保護や紛争解決メカニズムを備え、正規のECと同じようになっています」とCarroll氏は述べています。

これはAlphV/BlackCatなどのマーケットプレイスによる出口詐欺への対応の一面もあります。「しかし多くは、脅威アクターが被害者から迅速に支払いを受け取り、さらなる活動資金を得る利便性の追求が動機のようです」と彼は付け加えています。

CISOは今何をすべきか？

「セキュリティ専門家は、恐怖ではなく情報収集に重点を置いた戦略的な視点でダークウェブに臨むことが不可欠です」とCurrie氏は述べています。

合法であれば、ダークウェブへのアクセスは脅威アナリスト、プライバシー擁護者、セキュリティ実務者にとって正当な目的に役立ちます。

「真の価値は、ダークウェブを積極的に監視し、漏洩した認証情報やデータ、新たな脅威をリアルタイムで特定することにあります。同様に重要なのは、信頼できるTorブラウザ、VPN、専用デバイスの利用や、身元を晒すスクリプトの無効化など、強固な運用セキュリティを維持することです」とCurrie氏は述べています。

基礎的なサイバーセキュリティ対策を強化するために、セキュリティチームはダークウェブの知見を広範な脅威インテリジェンスプログラムに組み込む必要があります。これらの知見はサイバーリスクの背景を提供し、防御の調整に役立ちます。「ダークウェブの知見を得ることで、セキュリティ専門家は脅威アクターの行動や動機をより深く理解できます」とCurrie氏は述べています。