サイバー攻撃の事件において、ダークウェブが悪用されるケースが相次いでいる。ランサムウェア拡大を助長しているRaaSの取引を筆頭に、今やダークウェブはサイバー攻撃のエコシステムに組み込まれつつある。この記事では、ダークウェブの概要と、昨今の犯罪グループがダークウェブを使って起こした事件を中心に取り上げ、ダークウェブ悪用の実態を解説する。
事件の痕跡が残りづらいダークウェブ
ダークウェブとは、インターネット上ながら匿名性の高い特別なネットワーク上に構築されたWebサイトのことだ。Googleなどの検索エンジンでは見つけられず、Tor(The Onion Router)などの匿名通信をサポートする、特別なWebブラウザーを用いることでダークウェブにアクセスが可能となる。その匿名性の高さから、違法性の高いコンテンツや物品が取引され、犯罪グループの事件などでも悪用されている。
ダークウェブ内に存在する特殊なECサイトでは、サイバー犯罪に関連するさまざまな情報や物品が流通している。具体的には、盗難されたクレジットカード情報、流出したIDや機密情報、違法薬物、武器・銃器、違法ポルノなどが挙げられる。また、ダークウェブには通常のインターネットと同様、ユーザーが自由に情報交換できる掲示板もあり、不正ツールの販売やサイバー犯罪のパートナー探しが行われるケースもある。
ダークウェブ上での取引では、匿名性が維持できる暗号資産(仮想通貨)が主に利用されている。本人確認が求められる通常の銀行口座とは異なり、暗号資産はソフトウェアをインストールするだけで利用することが可能だ。そのため、違法性のある取引や情報交換をする場合でも痕跡が残りづらく、ダークウェブが犯罪の温床化に一役買ってしまっている。
ダークウェブ経由で広がりを見せるRaaSの存在
システムを不正に暗号化するなどしてアクセスを制限し、その解除に身代金を要求するランサムウェアによる事件が近年、増加傾向にある。その背景にあるのがRaaS(Ransomware as a Service)の存在である。RaaSとは、ランサムウェアを開発できない犯罪者に対し、サービスとしてランサムウェアを提供する仕組みのことだ。犯罪利用が前提という特性上、RaaSはダークウェブ上で取引されることが多い。
SaaS(Software as a Service)やIaaS(Infrastructure as a Service)など、いわゆる「XaaS(Everything as a Service)」の認知や市場の拡大を追い風に、RaaSも着実に犯罪者の間で浸透しつつある。犯罪者にとってランサムウェアを手軽に入手できる環境が整備され、ランサムウェアを用いたサイバー犯罪の事件が増大する状況をもたらしているのだ。
実際、2016年にはダークウェブ上の「Hall of Ransom」にて、ランサムウェア「Locky」が3,000ドル(約33万円) で販売されていることが報じられた。「Ranion」というRaaSは12か月960ドル(約10万円)、6か月605ドル(約6.3万円)という低価格でサブスクリプション形式にて提供されていたことが判明している。他にも、「Zeppelin」はMSSP(マネージドセキュリティサービスプロバイダ) *1を侵害し、特定の標的にランサムウェア攻撃を仕掛けるRaaSの例として知られている。
なお、本稿で扱うRaaSとは、物流業界で広がる「RaaS」とは異なる概念である点には注意したい。物流業界におけるRaaSは「Robotics as a Service」、あるいは「Retail as a Service」を意味する。
*1サイバーセキュリティに関連の対策を総合的に講じることをサービスとして提供する事業者のこと
ダークウェブを悪用した犯罪の事件
近年、痕跡が残りづらいというダークウェブの特性を悪用した犯罪が増加傾向にある。ダークウェブに関わる国内の事件として代表的なものは、新興の暗号資産取引所がハッキングされた件だろう。犯罪者はハッキングして盗み出した暗号資産をダークウェブ上で換金していたことがわかっている。この他にも、世界的に見れば、以下のような事件が発生している。
世界最大級の児童ポルノサイトの運営
世界的な児童ポルノに対する規制強化を受け、オープンなインターネット上ではなく、ダークウェブ上で児童ポルノに関するWebサイトが運営されるケースが相次いでいる。ある児童ポルノサイトは全世界で多くの会員を集め、2015年から3年間の運営期間に4億円以上を稼ぎ出したことがわかっている。2018年に運営者が逮捕され、実刑付きの判決が出たことでこのWebサイトは幕引きとなった。
ランサムウェア「Maze」によるカルテルの形成
2019年から2020年にかけて猛威を振るったランサムウェア「Maze」は、Doxing(窃取した情報を公開する)という手法を用いて、多額の身代金を荒稼ぎしたことで知られる。Mazeを手掛ける犯罪グループは、情報公開用のWebサイトをダークウェブ上に立ち上げ、他の犯罪グループにも利用を呼び掛けて、カルテルとも言うべき犯罪者集団が形成されたと言われている。
RDPでアクセス可能な情報の販売
コロナ禍の影響でリモートワークの利用が世界的に拡大。セキュアな業務環境として、RDP(リモート・デスクトップ・プロトコル)経由で業務を遂行する企業も少なくない。このような状況をチャンスと捉え、犯罪グループはRDPでアクセスできるマシンを探している。RDP経由でサーバーに侵入し、情報を不正に入手・悪用して、現金化を狙うためだ。そのようなニーズに対応するかのごとく、RDPでアクセス可能なサーバーの情報がダークウェブ上で取引されていることもわかっている。
国内多数企業から窃取された情報の公開
2020年12月、日本国内で607の国内企業や行政機関がサイバー攻撃を受けた。この攻撃はVPN機器に存在した脆弱性が原因と言われている。全世界で5万台に上る、脆弱性を抱えた機器の情報がダークウェブ上のフォーラムで公開されていた。この情報は約36MBの圧縮データとして、ユーザー名、パスワード、アクセス権、IPアドレスなどが含まれていたことがわかっている。
新型コロナウイルスの偽ワクチンの密売
コロナ禍に乗じ、ダークウェブで新型コロナの偽ワクチンが密売される例も発生している。架空のワクチンに99~2.5万ドル(約1~263万円)の価格を設定し、スパムメールを送って個人情報と金銭を詐取する手口だ。
いたちごっこが繰り広げられるダークウェブ
世界的に広がっているランサムウェアの被害について、ENISA(欧州ネットワーク情報セキュリティ庁)の調査によると、2019年に100億ユーロ(約1.3兆円)に上る身代金の支払いがあったと報じられた。ランサムウェアの犯罪事件の温床となるダークウェブに対して、捜査機関も取り締まりを強化している。2020年9月には6カ国で179人が逮捕され、500kgの麻薬、650万ドル(約6.9億円)相当の現金と暗号資産が押収されている。
2013年には大規模なダークマーケット「SilkRoad」が摘発された。ここでは違法薬物から、偽造運転免許証、盗難クレジットカード情報、児童ポルノなどが売買され、多額の取引が行われていたとされる。SilkRoadの摘発以降は大規模なマーケットは見られなくなり、代わりに中・小規模なマーケットが主流となり、摘発も難しくなっているとされる。もちろん、捜査機関でもテクノロジーを駆使し、ダークウェブの犯罪取り締まりを強化してきている。しかし、犯罪者も対抗措置をとるなど、いたちごっこの様相を呈しているのが実情だ。
サイバー犯罪者は機密情報やRaaSなど、犯罪に関連する取引に今後もダークウェブを悪用していくことはおそらく間違いないだろう。そのような状況が犯罪者の間で確立しつつあるということを前提に、サイバー攻撃への防御も考えていく必要に迫られている。
