ダークウェブは、依然として豊富でありながら不安定なサイバー脅威インテリジェンスの情報源です。メディアで過度に取り上げられることも多いですが、適切なツールと検証手法を用いてアプローチすれば、現実的な防御に役立つ実用的なOSINT(オープンソースインテリジェンス)を抽出することが可能です。
盗まれた認証情報の追跡から、攻撃者による次のキャンペーンに関する会話の特定まで、このガイドでは、怪しいフォーラムや疑わしいマーケットプレイスにアクセスすることなく、企業環境でダークウェブデータを活用する実践的な方法を解説します。
脅威インテリジェンスにおけるダークウェブの重要性
表層的なOSINTも依然として有用ですが、脅威アクターは依然として隠されたフォーラムや暗号化されたマーケットプレイス、招待制のTelegramチャンネルなどで連携しており、多くはTorやI2P経由でしかインデックスされていません。この深層の脅威データは、以下のような早期シグナルを提供します:
- 侵害された従業員の認証情報や顧客データ
- 今後のランサムウェア標的やゼロデイ利用に関する議論
- 一般公開前に流通するツールキットやエクスプロイトコード
重要なのは、これらのデータが実際に使われる前に出現することが多く、能動的な検知や強化のチャンスを提供する点です。
ツールの準備:リコンプラットフォームとクローラー
現在、いくつかのオープンソースおよび商用ツールが、倫理的かつ法的な範囲内でダークウェブの情報収集・相関を可能にしています。
- DarkSearch:Torでインデックスされたダークウェブ検索エンジン。onionサイトをキーワードで検索可能。自動化用のJSON APIもサポート。
- SpiderFoot:ダークウェブプラグインを備えたモジュール型OSINT自動化プラットフォーム。漏洩認証情報やフォーラム、マーケットプレイスからのデータ拡充をサポート。
- Maltego:ピボットや関係性マッピングで有名。ShadowDragonやRecorded Futureなどのダークウェブデータプロバイダーとの連携トランスフォームを提供。
- Ahmia:合法的なonionサービスをインデックスするプライバシー重視のTor検索エンジン。
- OnionScan:OnionScanはダークウェブ調査用の無料・オープンソースツールです。
レッドチーム担当者にとっては、これらのツールが攻撃者の視点を模倣したり、データ漏洩後に攻撃者が何を見るかを検証するのにも役立つことに留意してください。
ダークウェブOSINT活用の事例
CloudSEK、グローバルIT研修企業の侵害を未然に防止
CloudSEKのXVigilプラットフォームが、グローバルIT研修組織に関連する公開GitHubリポジトリ内の漏洩認証情報を特定しました。これらの認証情報は、給与承認や休暇管理などの機密データを扱う内部リソース管理システム(RMS)へのアクセスを許可していました。この発見により、同社はアクセス権の剥奪、多要素認証の強制、システムの隔離を実施し、大規模なデータ侵害やインシデント対応コストを回避できました。この事例は、リアルタイムのダークウェブ監視が脅威の拡大前に無効化できることを示しています – Preventing a Major Data Breach – CloudSEK。
Hudson Rock、Infostealerマルウェアと企業侵害を関連付け
脅威インテリジェンス企業のHudson Rockは、Racoon infostealerマルウェアをSamsung Germany、Telefónica、Airbusなど複数の大手企業から漏洩した認証情報と関連付けました。Samsungの事例だけでも、27万件以上の認証情報が侵害され、数年間発見されませんでした。これらの盗まれた認証情報は、その後のランサムウェアやデータ流出キャンペーンに利用され、ダークウェブ市場でinfostealerログが流通する長期的な危険性を示しています – Hudson Rock – Wikipedia。
23andMe:過去の漏洩からのクレデンシャルスタッフィング
2023年10月、遺伝子検査企業23andMeは大規模なクレデンシャルスタッフィング攻撃を公表しました。過去の漏洩で既に流出していたパスワードの再利用が悪用され、1万4,000件以上のユーザーアカウントへ不正アクセスされました。プロフィール機能の連携により、攻撃者はさらに550万件のユーザーデータと140万件のプロフィールメタデータにもアクセスできました。この侵害は、ダークフォーラムで流通する認証情報の再利用がもたらす複合的リスクを示しています – arXiv: 23andMe Security Analysis。
ハニーネット調査で数十億件の漏洩認証情報を追跡
2024年の縦断的研究では、複数ネットワークに設置したハニーポットやパッシブセンサーを用いて、270億件以上の漏洩認証情報が記録されました。その多くがブルートフォースやクレデンシャルスタッフィング攻撃に利用されました。この研究は、ダークウェブで漏洩した認証情報が現実の侵入試行を直接促進していることを定量的に示し、能動的なOSINT監視の重要性を裏付けています – NIH PMC Archive – Credential Leakage Study。
DarkOwl、ダークウェブシグナルを用いたリスクモデリング
最近の業界ウェビナーで、DarkOwlのCTOは、漏洩認証情報やフォーラムでの会話、マーケットプレイスのリストがリスク定量化モデルに有意なシグナルを与えることを強調しました。同社のアプローチは、ダークネットインテリジェンスを活用して脆弱性の優先順位付けやサイバー保険スコアリング、ランサムウェア被害予測に役立てています。OSINTを予測モデルに組み込むことで、組織はセキュリティ体制の劣化や脅威の接近度をより正確に追跡できます – Webinar – DarkOwl: Deep and Dark Web Data and Its Impact on Modelling Cybersecurity Risk。
Flareによる業界横断的な認証情報漏洩分析
Flareの2023年の業界横断分析では、ダークウェブ上で99億件以上の認証情報が流出していることが判明し、メールドメイン間での再利用や、医療・製造・技術分野でのパスワード強度の低さが蔓延していることが示されました。この研究は業界別の露出度を定量化し、認証情報の衛生管理、継続的なOSINTスキャン、従業員向けセキュリティ教育プログラムの重要性を強調しています – Clear Insights from a Deep Analysis of Dark Web Leaked Credentials – Flare。
注意すべき点と検証テクニック
見つけた情報がすべて本物とは限りません。ノイズを除去する方法は以下の通りです:
- タイムスタンプの照合:Googleドークや内部ログを使い、侵害時期が自社システムと一致するか確認する。
- データ構造の分析:スキーマ(メール、ハッシュ、IP、ジオロケーション)が一貫している漏洩記録は本物の可能性が高い。
- HaveIBeenPwnedや内部テレメトリでクロスチェックし、古い・再利用されたダンプによる誤警報を回避する。
- 内容の三角測量:ユーザー名やメールエイリアスを内部ディレクトリ構造と照合し、情報の正確性を確認する。
注意:脅威アクターの会話や漏洩ダンプの検証には厳格なオペレーショナルセキュリティが必要です。常にスクレイパーはサンドボックスで実行し、不明なonionリンクを直接クリックしないでください。
法的考慮事項とアクセス制限
ダークウェブのスクレイピングやインデックス作成は、多くの法域でグレーゾーンです。公開・インデックス済みの情報源に限定し、違法コンテンツへのアクセスやダウンロードは避けてください。
FlashpointやIntSightsのような商用ベンダーはサニタイズされたフィードを提供していますが、適切な管理体制とアナリストがいれば、オープンソースツールでも80%はカバーできます。
OSINTを検知戦略に統合する
ダークウェブからのデータは、以下に直接活用できます:
- 認証情報の衛生監査
- 攻撃対象領域の管理
- フィッシング検知およびテイクダウンワークフロー
- 脅威アクターのプロファイリングとTTP(戦術・技術・手順)の追跡
SIEMやSOARプラットフォームに統合すれば、検証済みOSINTが自動アラートを発報したり、攻撃者の意図を調査に付加することができます。
まとめ
ダークウェブからのOSINTは、研究者やCTIアナリストだけのものではありません。成熟したセキュリティプログラムにとって実用的なインプットです。倫理的なツールと検証可能な手法を活用すれば、防御側はリスクを早期に検知し、迅速に対応し、脅威アクターが自組織をどう見ているかを把握できます。
「OSINT ダークウェブ ツール」への関心が高まる今こそ、能力を磨き、表層ウェブの下にある混沌に明確さをもたらす時です。
翻訳元: https://www.darknet.org.uk/2025/07/leveraging-osint-from-the-dark-web-a-practical-how-to/