ディフェンダーがダークウェブを活用する方法

「ダークウェブ」という言葉は、違法行為やサイバー犯罪が蔓延するインターネットの隠された領域で、脅威アクターが潜んでいるイメージを思い浮かべるかもしれません。しかし、ダークウェブとして知られるこの領域には多面的な利用方法があります。グレイハット、サイバー防御者、データ漏洩監視サービス、研究者なども頻繁に利用しています。

この隠されたウェブサイトやユーザーのネットワークは、従来の検索エンジンにインデックスされず、より高い匿名性を提供するため、脅威アクターだけでなく、身元や所在を隠したい政治的反体制派なども恩恵を受けることができます。

ここでは、エシカルハッカーやディフェンダー、現実世界の主役たちがダークウェブをどのように活用しているかを紹介します。

脅威インテリジェンスの収集

あらゆるサイバーセキュリティ研究者やオープンソースインテリジェンス（OSINT）アナリストは、脅威インテリジェンスのためにダークウェブのフィードを監視する価値を認識しています。

ハッカーフォーラムや、Tor経由でのみアクセス可能な特定の.onionサイトに頻繁にアクセスすることで、脅威アクターや彼らの進化する戦術・技術・手順（TTP）、そして所属グループについて洞察を得ることができます。特に後者は重要で、アンダーグラウンドの一部サイバー犯罪者は複数のランサムウェアやデータ恐喝グループに所属している場合があります。例えば、ある脅威アクターグループは初期アクセスブローカー（IAB）としてのみ活動し、侵害された企業ネットワークや資産へのアクセスを個々のランサムウェアやデータ恐喝グループに販売しつつ、これらの買い手と直接的な関係がある場合もない場合もあります。

脅威インテリジェンス収集のもう一つの重要な側面は、今後の攻撃、脆弱性の悪用、ゼロデイ、フィッシングツールキット、新たなマルウェア亜種などが流通していないかを探すことです。例えば、過去には悪名高いRaccoon Stealer情報窃取マルウェアの作成者が、よりステルス性の高いバージョンのリリースをハッカーフォーラムで発表したことがあります。一見すると、これらの投稿は脅威アクターやスクリプトキディ（スキッド）向けのように思えますが、アンチウイルス企業はこれら新亜種に対するシグネチャベースの検出を迅速に製品に組み込むことができ、家庭や企業ユーザーを保護できます。

SOCアナリストや研究者は、新しい亜種を解析・調査し、YARAやSigmaルールを作成して組織ネットワークを新たな脅威から守ることもできます。学術界や産業界の研究者は、新たに登場するステルス性の高いエクスプロイトや従来の手法では検出が難しいウイルスをネットワークフローで監視する方法について洞察を得ることができます。進化し続けるアンダーグラウンドのサイバー犯罪の動向を把握しておくことで、セキュリティベンダーは防御技術や製品の強化につなげることができます。

攻撃の実行者の特定

組織がデータ漏洩やサイバーインシデントの被害を受けた場合、ダークウェブは被害企業やその法務チーム、交渉担当者などディフェンダーにとって重要なツールとなります。

ランサムウェアグループなどの脅威アクターは、組織を攻撃してデータを暗号化・窃取し、復号キーと引き換えに金銭を要求して恐喝します。交渉時の優位性を得るため、あるいは組織が身代金の支払いを拒否した場合、脅威アクターは盗んだデータを.onionリークサイトで少しずつ公開し始め、パスポートや身分証明書、保護された医療データ、財務記録などの顧客・従業員の機微情報を徐々に世間にさらします。また、他の脅威アクターは、より大容量の数ギガバイトに及ぶデータダンプをハッカーフォーラムで販売し、ID窃盗やフィッシングの実行者が利益を得ることもあります。

被害組織にとって、ダークウェブは被害の範囲を監視するための重要な手段となります。どの情報が公開され、どのフォーラムやオンライングループで、誰（どの脅威アクターグループ）が攻撃の責任を主張しているのか、盗まれた資産がどのように流通しているのか（利益目的で販売されているのか、無料で公開されているのか）を把握できます。しばしば、.onionサイトやTelegramグループが、被害組織のディフェンダーと脅威アクターとの唯一の連絡手段となり、2023年のRoyal MailとLockBitランサムウェアグループの交渉チャット流出のように、主要なコミュニケーションチャネルとなることもあります。

金銭的利益や身代金など明確な動機がない場合、実行者の特定は特に重要になります。例えば、ハクティビストグループは大規模なDDoS攻撃でウェブサイトや政府システムをダウンさせたり、一部の自警団的なソフトウェア開発者が特定地域のシステムに損害を与えるために意図的に自身のコードを破壊したりすることがあります。これらは金銭目的ではなく、より広いメッセージに注目を集めるためです。

データ漏洩や侵害の監視

HaveIBeenPwned（HIBP）などのデータ漏洩監視サービスは、ダークウェブやハッカーフォーラムに出回る漏洩データダンプを頻繁に追跡しています。ユーザーはHIBPで自分のメールアドレスを入力するだけで、情報がデータ漏洩で流出したかどうかを無料で確認できます。

Intelligence Xのような検索エンジンは、研究者やディフェンダーが公開データ漏洩やダークネットで見つかった暗号通貨ウォレットアドレス、IP、ドメイン、メールアドレスなどの重要な情報を検索できるように特化しています。

消費者向けの文脈では、ダークウェブ監視は最近、TransUnion、Equifax、Experianなど大手信用情報機関が提供する詐欺・ID盗難監視プランの形で注目を集めています。

ユーザーはまず、信用情報機関のウェブサイトで本人確認のためにオンラインでいくつかの質問に答えることでプロフィールを作成します。これらの質問の答えは、信用情報機関が保有する過去の貸付データから既に把握されています。サブスクリプション登録が完了すると、ユーザーはクレジットカード番号、運転免許証情報、パスポートや渡航書類データ、国民保険番号（NINo）、社会保障番号（SSN）、社会保険番号（SINs）などの機微情報を記録することができます。この情報は安全に保管され、ダークウェブ上に出回る漏洩企業データベースなどと定期的に照合されます。

この仕組みは、記録したデータの一部がダークウェブ上の違法なデータダンプで発見された場合、登録ユーザーに通知が届き、ID盗難の可能性を早期に認識できるというものです。

検閲回避と内部告発

ダークウェブやTor、Telegram、VPNなどの技術は、インターネット利用が制限・監視されている法域で内部告発者が頼る手段にもなり得ます。

身元や所在を明かさずに声を上げたい政治的反体制派や市民権擁護者は、ダークウェブを利用してメッセージを拡散したり、企業や政府の不正の証拠を公開したりすることがあります。これらの行為は合法性や倫理性に疑問が残る場合もありますが、これらの技術や「ダークウェブ」全体が必ずしも「悪」ではないという複雑な側面を示しています。

VPNのような技術は、検閲されている国でLGBTQ+向けSNSなど制限されたアプリやウェブサイトへのアクセスを可能にします。ニュースサイトのThe Guardianも.onionバージョンを提供しており、メインサイトが権威主義政権によりブロックされても、市民はTorを使ってより匿名性高くアクセスできます。

法執行

犯罪者がダークウェブに潜むことができるなら、警察もまたそこに潜入しています。

FBI、インターポール、オーストラリア連邦警察などの政府法執行機関は、広範なサイバー犯罪組織の摘発でしばしば功績を挙げています。最近では、FBIと各国の法執行機関が協力し、カウンターアンチウイルス事業「AVCheck」や、数百万件のパスワードを盗んだLumma Stealerマルウェア・アズ・ア・サービス（MaaS）の壊滅に成功しています。

違法ドメインの押収やランサムウェア事業の壊滅にとどまらず、連邦機関はダークウェブを利用して麻薬密売人やCSAM（児童性的虐待資料）関連犯罪者の摘発も行っています。最近の例としては、Operation RapTorがあり、米国、欧州、南米、アジアの法執行機関が協力し、違法フェンタニル・オピオイド取引に関与するダークウェブのベンダー、購入者、管理者270人を逮捕しました。

研究とジャーナリズム

あまり目立たないものの、ダークウェブの極めて重要な活用例として、調査報道ジャーナリストへの価値が挙げられます。

記者にとって、ダークウェブは関係者間の広範な裏付けや「舞台裏」の動向観察のための興味深い手段となります。特に大規模なサイバー攻撃時には、匿名化された通信チャネルやリークサイトが、記者とデータ漏洩を主張する脅威アクターとのパイプ役となることもあります。脅威アクターの言い分を鵜呑みにするのは危険ですが、攻撃に関する情報や証拠が共有されれば、脅威アクターや被害組織の主張の信憑性を記者が検証する助けになります。これは、企業の不正行為が絡むケースで、組織が株主や顧客に対してセキュリティ侵害を意図的に隠蔽・過小評価しようとする場合など、独立報道にとって特に重要です。時には、企業がサイバーインシデント自体を一切公表しないこともありますが、ダークウェブやランサムウェアリークサイトでのやり取りが、研究者や一般市民、ジャーナリストに重要な疑問を投げかけるきっかけとなることもあります。