ベッキー・ブラッケン
皆さん、こんにちは。Dark Reading Confidentialへようこそ。これはDark Reading編集部によるポッドキャストで、サイバーの最前線からリアルなストーリーをお届けします。ホスト兼Dark Reading編集者のベッキー・ブラッケンです。今回のエピソードでは、Dark Readingのシニアレポーター、アレックス・クラフィ、そしてSophosのCounter Threat Unitのシニアセキュリティリサーチャー、キース・ジャービスをお迎えしています。お二人には、現代のダークウェブをガイド付きで案内していただきます。アレックスさん、キースさん、ようこそ。
アレクサンダー・クラフィ
ありがとうございます。
キース・ジャービス
ありがとうございます。
ベッキー・ブラッケン
とてもワクワクしています。どうぞ、アレックス、始めてください。ツアーをお願いします。
アレクサンダー・クラフィ
はい。ベッキー、ありがとうございます。そしてキース、今日はご参加いただきありがとうございます。今回はダークウェブのガイドツアーを行います。ダークウェブという言葉は、特別なウェブブラウザが必要なサイトやコンテンツを指す、いわば「お化け」のような用語です。これらはオーバーレイネットワーク上に存在します。
これらのサイトは、違法な物質の購入や詐欺が行われる場所として知られているかもしれません。しかしサイバーセキュリティの世界では、多くのランサムウェアのデータリークサイトが存在し、マルウェアキットが多数取引されています。RAMPのようなハッキングフォーラムもあり、盗まれたデータや認証情報が売買されています。非常に複雑な世界です。今日は、キースに参加してもらい、サイバーセキュリティの観点から、研究者や防御側がどのように利用しているのか、サイバー犯罪者がどのように使っているのか、そして状況がどう変化してきたのかを一緒に見ていきたいと思います。キースさん、あなたのプロとしてのキャリアはダークウェブとどのように関わってきましたか?また、どれくらいの期間研究されていますか?
キース・ジャービス
そうですね、ますます重要になっています。脅威インテリジェンスの分野で10年以上にわたり監視してきました。最大の匿名ネットワークであるTorネットワーク、これはダークウェブとほぼ同義ですが、何十年も存在しています。しかし、サイバー犯罪者が他のプラットフォームから本格的に流入してきたのは、ここ10~15年のことです。
ますます多くのサイバー犯罪者同士のオープンなコミュニケーションがTorネットワーク上で行われており、時にはITPのような他のネットワークも使われますが、頻度は低いです。最近では、Telegramのようなフォーラムがオープンな犯罪行為を取り締まり始めているため、サイバー犯罪者がより安全だと考える場所へと移動する傾向が強まっています。
アレクサンダー・クラフィ
「ダークウェブ」という言葉や、ベンダー側のダークウェブ監視などを考えると、とても恐ろしいイメージがあります。しかし、脅威アクター側から見ると、私が最後に調べたときは、多くのリークサイトやフォーラム、匿名性を前提としたハッカー同士のコミュニケーションが中心でした。ここ数年で状況はあまり変わっていないのでしょうか?それとも何か変化はありましたか?
キース・ジャービス
はい、間違いなくランサムウェアグループにとっては圧倒的に主流のプラットフォームです。90%以上のグループがデータをリークしたり、被害者情報を公開したりする際、Torネットワークを利用しています。中にはパブリックなインターネット上、いわゆるクリアネットにサイトを持つグループもいますが、その頻度はどんどん減っています。
これは彼らにとって運用上のセキュリティを確保する簡単な方法です。Torネットワーク上にサイトを簡単に立ち上げ、データを公開できますし、ドメインの停止や法執行機関による摘発など、従来の脅威をあまり心配せずに済みます。自分たちの身元が特定されるのを避けたいので、公開リスクを減らせるならその選択をします。また、ランサムウェアグループだけでなく、薬物市場など、違法物質の取引の場としても長年使われてきました。Torネットワークの特徴の一つは、こうしたバザールで様々な薬物を探せることです。多くの人にとっては好奇心の対象ですが、現実のディーラーの代替手段にもなっています。
他にも、特定のマーケットプレイスではマルウェアが販売されていたり、サイバー犯罪者の多くがダークウェブ上にフォーラムを設けています。ただし、クリアウェブサイトも併用している場合もあります。ですが、全体的にはトラフィックがこれらのネットワークに移行してきている状況です。
アレクサンダー・クラフィ
被害者が侵害され、データや認証情報が流出し、それが販売される場合、クリアウェブの選択肢があったとしても、こうした隠れたサービスやダークネット市場の複雑さを考えると、まず最初に脅威アクターがデータを売りさばこうとするのは、やはりダークウェブになるのでしょうか?
キース・ジャービス
その通りです。例えば最大級の認証情報マーケットであるRussian MarketはTorネットワーク上に大きな存在感を持っています。過去にはGenesisもありました。彼らは二重の接続性を維持しています。これは二つの理由があります。脅威アクター自身の運用・個人のセキュリティを守るため、身元が特定されて逮捕されるのを防ぐためです。これは彼らにとって最悪の事態です。
同時に、顧客にも安心感を与えたいのです。「私たちはTorネットワーク上にいるので、あなたもTorネットワークにアクセスする必要がある」と伝えます。つまり、自分たちだけでなく、購入者も守られるということです。パブリックインターネットでは、諜報機関や法執行機関が通信を監視していますが、Torならそのリスクが減るので、買い手と売り手の双方にとって安心材料となります。
アレクサンダー・クラフィ
ここ数年で行われた数々の摘発、たとえばLockBitの摘発のようなものや、3~6か月ごとに現れる他の摘発を見ると、私がサイバーセキュリティを取材し始めた5~6年前よりも頻繁に起きているように感じます。これは法執行機関がより積極的になったからでしょうか?それともダークウェブの匿名性が低下し、摘発がしやすくなったのでしょうか?この法執行活動の増加をどう説明しますか?
キース・ジャービス
そうですね、法執行機関がこれらのグループを追及する動きが活発化しています。理由は明白で、ランサムウェアは世界中のIT部門にとって疫病のような存在となっています。従来は西ヨーロッパや米国が主な標的でしたが、今ではラテンアメリカから東南アジアまで、あらゆる地域が懸念しています。国際的なタスクフォースによる協力も増え、経済を守るために本腰を入れています。ただ、公開サイトでデータを公開するのは犯罪組織の一側面に過ぎません。
これにより、帰属や追跡は複雑になりますが、彼らは他のサイバー犯罪者とピア・ツー・ピアのメッセージやフォーラムでやり取りしています。身代金の受け取りも、従来の銀行システムではなく、ビットコインの取引所やチェンジャーを利用しています。
最も帰属が進んでいるのは、こうした従来型の警察活動です。個人を特定し、Torネットワーク上のリークサイトの場所を突き止めることもあります。法執行機関の行動で重要なのは、Torネットワークを運営するための秘密鍵を押収し、サイトを乗っ取って「このサイトは押収されました」と表示したり、ハニーポットとして運用し、誰がアクセスしてくるかを監視することです。ランサムウェアのアフィリエイトプログラムを運営している場合、誰がパネルにアクセスしているかを把握し、背後のネットワークを暴くことができます。こうした技術はサイバー犯罪者にとっても有利に働いています。
アレクサンダー・クラフィ
しかし、技術的な側面が進歩したとしても、研究者や法執行機関が隠れたサービスやダークネットサイトの犯罪に取り組む際、多くは従来型の探偵・警察の仕事であるようですね。10~15年前のシルクロードの時代には、フォーラムのメンバーになりすまして情報を得るソーシャルエンジニアリングもありました。
また、多くの研究者が新しいハッキングフォーラムにアカウントを作って内部を観察しようとします。ビットコインミキサーの追跡も、資金の出所を突き止めるための一環と言えるでしょう。
現在も、あなたや周囲の研究者の多くの仕事は、こうした昔ながらの地道な探偵作業が中心ですか?
キース・ジャービス
はい、その通りです。シルクロードの摘発の詳細を見ると、法執行機関が最初に目をつけたのは、初期にクリアネットのフォーラムで宣伝していた時期でした。後に本人もセキュリティ上の理由から完全に匿名化しました。
しかし最終的には、法執行機関の注目が集まると、初期の活動データを使って個人に帰属させようとします。今日でも多くの犯罪者は最初はTelegramや他のフォーラムで活動を始めますが、規模が大きくなるとリスクを考え始めます。
ですが、その時点でインターネットは忘れません。すべてのデータは残っています。私たち研究者や法執行機関はそれにアクセスできます。初期の手がかりが大きな発見につながることが多いのです。誰も注目していないと思っていた初期のミスが、後に重要になってきます。
有名になってスポットライトが当たるまで、その重要性に気付かないのです。
アレクサンダー・クラフィ
最後にダークウェブの動向を調べたのは2020年か2021年だったと思います。当時聞いた話では、ダークウェブで人命や搾取に関わる最悪の犯罪については、法執行機関が連携して即座に摘発していました。一方、サイバー犯罪や薬物関連では、法執行機関同士の競争や情報共有の消極性があったと聞きました。
現在は、国際機関やEuropolが協力してランサムウェアオペレーターを摘発する事例が増えています。脅威アクター摘発における官民連携や国際協力は増えていると感じますか?
キース・ジャービス
はい、伝統的にCSAMや人身売買、テロ対策などでは、普段は協力しない国同士でも連携してきました。しかし、他の犯罪になると各国の個性や地政学的な事情が表れます。サイバー犯罪に関しては、アメリカやイギリスの犯罪者にとっては危険ですが、ロシアでは自国内や同盟国以外を標的にする限り、サイバー犯罪者に事実上の自由が与えられています。
サイバー犯罪グループ摘発では、米国機関がロシア連邦に「このデータセンターから犯罪が行われている」と伝えても、調査すると言われて終わりです。しかし、世界中で「サイバー犯罪は問題だ」と認識する国が増え、欧米と普段は協力しない国々も連携し始めています。
また、官民連携についても、政府が私たちSophosやSecureworks、他の情報セキュリティ企業に積極的に働きかけています。企業は顧客ネットワークなど独自のインサイトを持っており、政府が収集できない情報も把握しています。
政府はデータを提供し、機密解除して共有しようとしていますし、逆に企業側の情報も求めています。米国、英国、その他の国々で、こうした関係構築が進んでいます。効果についてはまだ評価が分かれますが、情報共有が正しい方向であることは誰も否定しません。情報を集めるだけでなく、実際に行動できる人がアクセスできるようにすることが重要です。
アレクサンダー・クラフィ
ここ数年で大きな変化があったのは明らかですが、ご自身やDHSなどの立場から見て、他のサイバー関係者と話したり協力したりするチャネルは今も十分開かれていると感じますか?
キース・ジャービス
はい、間違いありません。米国の政治システムは変動が大きいですが、他の地域はより安定しており、関係も安定しています。米国でも大きな混乱はなく、政府機関に連絡すれば対応してもらえますし、逆も然りです。今後どうなるかは分かりませんが。
ただし、こうした関係は努力と継続的な関与が必要です。プレスリリースだけで「官民連携は重要」と言っても、実際に行動しなければ意味がありません。関係は存在し、ある程度機能していますが、今後も注力し続ける必要があります。
アレクサンダー・クラフィ
分かりました。脅威アクターを研究者や法執行機関が積極的に狙うようになったことで、脅威アクター側のビットコインのミキシング方法やコミュニケーション、データの販売方法、アフィリエイトの獲得方法などに変化は見られますか?それとも従来通りでしょうか?
キース・ジャービス
はい、一度確立した手順があると、脅威グループはそれを変えたがりません。別の方法を考えるのは手間ですし、うまくいっているなら変える理由がありません。脅威インテリジェンス会社の追跡を避けるためだけに変えることは少ないです。ただし、OFACなどの金融制裁がある場合は話が別です。制裁対象のグループには身代金支払いができません。ランサムウェアグループはブランドを変えたり、攻撃手法を変えたりして、数週間は別グループを装います。制裁対象と気付かれないようにするためです。
代表的なのはEvil Corpで、過去7~8年にわたり複数のランサムウェア作戦を展開し、制裁リスト入りで何度もブランド変更を余儀なくされました。法的な理由から、別人を装う必要があるのです。どんなに追い詰められても、制裁違反はできません。違反の代償はあまりにも大きいからです。
アレクサンダー・クラフィ
ここ数年、被害者が身代金を払わないようにする取り組みが進んでいますが、経済制裁は抑止策として効果的ですか?
キース・ジャービス
適用されたケースではかなり効果的です。ただし、サイバー犯罪エコシステム、特にランサムウェアの動きは政府の対応をはるかに上回る速さです。制裁発動のスピードが現場の動きに追いついていません。しかし、制裁が発動されれば効果はあります。米国だけでなく、被害が多い他国政府にも同様の対応を期待したいところです。
アレクサンダー・クラフィ
分かりました。研究の側面に戻りますが、Sophosが6月にAIを使ってダークウェブ上のサイバー犯罪者を特定する研究を発表していました。それについて、また他に脅威アクターの特定や帰属をより効果的にするための取り組みについて教えてください。
キース・ジャービス
はい。Secureworks CTUからSophosへの合併で、異なる手法を持つ2つのセキュリティチームが一緒になりました。今回のAIによるネットワーク分析はSophos側の研究です。Secureworks CTU側でも長年ダークウェブ研究を行ってきました。AIを使ったネットワーク分析は非常に興味深い技術です。
ダークウェブで収集したデータをどう正規化し、分析可能にするかは長年の課題でした。これまでは個々の研究者や専門家が脅威アクターやプラットフォームに精通している必要がありましたが、AIを使うことで、生データから「誰が誰とつながっているか」「どんな用語を使っているか」「何を売っているか」などを抽出し、ダークウェブやフォーラムのネットワーク構造を可視化できます。これはスケーラビリティの観点から非常に重要です。
もちろん、専門家が日々データを分析することも重要です。データ量は膨大で、すべてを追うのは困難です。何を優先するかを決めて、人間が調査します。しかし、生データにLLMを適用してインサイトを抽出できれば、データのタグ付けや正規化が進むほど、より機械可読な形で有用な分析が可能になります。ネットワーク調査の発展を非常に楽しみにしています。
アレクサンダー・クラフィ
つまり、取り込むデータや調査手法自体は大きく変わらなくても、LLMなどの最新技術によって大量データの意味付けや単純作業の自動化が進み、より早く意思決定できるようになる、という理解でよいでしょうか?
キース・ジャービス
はい、その通りです。多くの人がAIプラットフォームから価値を得ているのはまさにその点です。AIが出したインサイトを専門家が評価し、誤認や無意味な情報(ハルシネーション)を見抜きますが、一方で有用な発見も得られます。
これまで考えなかった視点や、見落としていたデータを発見できることもあります。膨大なデータを扱う人々にとって、AIはスケーラブルに意味を見出すための新たなツールです。
アレクサンダー・クラフィ
具体例を教えていただけますか?どんなデータを取り込み、どのように活用するのか、ダークウェブを例に説明してもらえると分かりやすいです。
キース・ジャービス
はい。私たちが探しているのは人物名や、Tox IDなどの技術的なアーティファクト、Onionアドレス(リークサイトやマーケットプレイス用)です。フォーラムでの評判も重視します。多くのフォーラムには評判システムがあり、エスクローに資金があるか、レビューがあるか、アカウントの存続期間なども見ます。さらに、ネットワーク分析で「誰が誰とつながっているか」を把握します。これらのデータを集めて、誰が何をしているかの全体像を構築します。
私たちのグループの主な焦点は、マルウェアの活動クラスターを特定のグループに帰属させ、実際のネットワークトラフィックやエンドポイントデータと照合し、どの業種や地域が攻撃されているかを明らかにすることです。ダークウェブで見たものと、実際の被害ネットワークで見たものを突き合わせることに注力しています。
アレクサンダー・クラフィ
ビットコイン追跡にもこの技術は有用だと思います。アドレスを入力すれば、ビットコインの仕組み上、時間の大幅な節約になるのでは?
キース・ジャービス
はい。ビットコインや他の暗号通貨のブロックチェーンは非常に詳細な記録です。独自のインサイトを引き出さなくても、取引があったか、金額や時刻、検証者、送信元などを確認できます。こうした調査で成功する鍵は、最初に帰属データを持っていることです。
私たちは多くのインシデント対応を行っており、四半期で100件のランサムウェア事例を扱います。脅威グループや被害者が使うウォレットを把握しており、これは脅威アクターと被害者しか知らない非公開情報です。こうした帰属やタグ付けができれば、コインミキシングサービスを経由しても、出力アドレスがどのランサムウェアグループや脅威グループに渡るかをネットワーク化できます。AIを使って大量データからインサイトを抽出することも可能でしょうが、基本的には比較的シンプルな調査です。
アレクサンダー・クラフィ
最後に、セキュリティ製品の購入を検討する防御側の立場について考えたいと思います。15社のベンダーサイトを見ていると、「ダークウェブ監視」「ダークウェブを追跡」といった表現を見かけます。時に脅し文句、時に複雑な内容の省略表現として使われています。実際に隠れたサービス上に存在する本物のデータやインフラもありますが、防御側としてダークウェブについて何を知り、何を心配し、どのような文脈で捉えるべきでしょうか?マーケティング用語ではなく、適切に考えるためのポイントを教えてください。
キース・ジャービス
はい。確かにダークウェブはマーケティング用語として使われることも多いです。セキュリティ企業として過剰に宣伝したくはありませんが、組織として「何が外部に出ているか」「何を心配しているか」を自問することが重要です。侵害があった場合か、一般的なセキュリティ体制の一環としてか、ダークウェブ監視で何を見つけたいのか、見つけた場合にどうセキュリティ体制が向上するのかを考えるべきです。
ほとんどの顧客にとって理想的なのは、複数のセキュリティベンダーの中に、何らかの形でダークウェブ関連の質問ができる専門家がいることです。専用のダークウェブ監視サービスが契約に含まれていなくても、例えば「侵害があったので、認証情報やデータがリークサイトやフォーラムに出ていないか調べてほしい」と相談できる相手がいると安心です。定期的な監視やレポートが必要なら、専門の監視会社と契約すべきでしょう。
ただし、ほとんどの場合は一度きりの問い合わせや定期的な評価で十分で、常時監視は不要です。内部で独自にダークウェブ監視体制を構築するのは非常に難しいので、安易に始めるとその困難さを痛感するでしょう。もちろん、フォーラムにアカウントを作る程度なら問題ありませんが、本格的なインテリジェンスを得るには、しっかりしたプログラムが必要です。ただし、挑戦したい人を止めるつもりはありません。
アレクサンダー・クラフィ
良い指摘ですね。SKUや有料オプションとして「ダークウェブ監視」を売りにする企業もありますが、大手セキュリティベンダーで脅威監視サービスを利用する場合、名称に関わらず、盗まれた認証情報の監視は標準装備だと思います。「ダークウェブにあるかどうか」ではなく、「盗まれた認証情報や自分に関係するデータがあるか」を重視すべきではないでしょうか?それらは結局ダークウェブに存在するものですが、それ自体が本質ではありません。
キース・ジャービス
はい、今や成熟した脅威インテリジェンス企業なら、その機能を内部に持ち、サービスやインテリジェンスに組み込んでいるのが当たり前です。主要なセキュリティベンダーがその機能を持っていなければ大きな疑問符です。私たちも3~4人がダークウェブ監視を専任で行っていますが、これは収益目的のサービスではなく、脅威状況を把握し、検知や防御策を製品に反映し、顧客に伝えるために必要な活動です。単なるサービスラインではなく、私たちが目指す専門性のために不可欠なものです。
アレクサンダー・クラフィ
素晴らしいです。今回はとても有意義な会話でした。キースさん、ダークウェブの見方や法執行機関の動向、時代の変化についてのガイド、ありがとうございました。
キース・ジャービス
こちらこそ、ありがとうございました。お話できて光栄でした。
ベッキー・ブラッケン
本当に感心しました。短時間で多くの話題をカバーしていただき、たくさん学びました。じっくり考えたい内容ばかりです。キースさんの深い専門知識、アレックスさんの鋭い質問、素晴らしい対話をありがとうございました。
アレクサンダー・クラフィ
ありがとうございました。
ベッキー・ブラッケン
以上で、Dark Reading Confidentialの最新エピソードを終わります。Dark Reading編集部によるポッドキャストで、サイバーの最前線からリアルなストーリーをお届けしました。ご視聴いただきありがとうございました。また次回お会いしましょう。
翻訳元: https://www.darkreading.com/cyber-risk/dark-reading-confidential-guided-tour-dark-web