プライバシーや匿名性の確保に興味があるなら、Torブラウザーについて知っておくべきだ。本記事では、Torブラウザーを使ってダークウェブを閲覧する様子を紹介しよう。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
ダークウェブについて話をすると、多くの人は警戒心を抱き、実際にダークウェブにアクセスするのはもちろん、専用ブラウザーをダウンロードすることさえも違法であると考える人がいるものだ。
当然、こうした行動自体は違法ではない。詳細について述べる前に、いわゆるダークウェブブラウザーと呼ばれるものを、どこで入手できるかを見てみよう。
- 必要なもの:Torブラウザー(iOS上ではOnionブラウザーの利用を検討する)
- 入手場所:TorプロジェクトのWebサイト
- 必要な時間:2分
- コスト:ゼロ(後で感謝してください)
- 使うもの:Mac、パソコン、Linux、Android、あるいはiOSデバイスと任意のブラウザー
- 手順:Torブラウザー(またはiOS上のOnionブラウザー)をダウンロードし、閲覧を開始する
Torブラウザーをダウンロードし、ダークウェブでネットサーフィンすること自体は違法ではないし、Torブラウザーを使って普段見慣れている「インデックスされた」通常のWebサイトも閲覧できる。Torブラウザーは通常のWebブラウザーのように動作する。異なるのは匿名化されたTorネットワークに接続する点だけだ。Torネットワークは、目的のサーバーに届くまで無作為に中継(TorはThe Onion Routerの頭文字から名付けられる)され、複数の暗号化されたレイヤーによってトラフィックを匿名化する。
Torネットワークは、どのWebサイトやサービスを訪問する場合でも匿名性を保ち、ISP(インターネットサービスプロバイダー)や政府・広告主からの追跡を避けられることを保障する。(ただしこれは万能ではない。Torブラウザーによって、特に利用者自身が保護されない、いくつかのシナリオが考えられる)
Torブラウザーの使用
Torブラウザーは一般的にダークウェブへの入り口と考えられているため、それにならってインターネットの深部へ潜ってみたい。
ダークウェブは極めて恐ろしい場所のように感じるかもしれないが、インターネットそのものへの恐怖よりも、未知なるものへの恐怖の方が大きいように思われる。ダークウェブはさまざまな方法で使用されているが、率直に言って、違法な目的で使用されることも少なくない。例えば、薬物や銃、密輸品の売買などだ。
興味はあるが、詳しく調べるのは怖いという人のために、私がダークウェブへ潜入し、その体験記を紹介します。なので、あなたが自らダークウェブを試す必要はありません。
一見すると、Torブラウザーはほかのブラウザーと大差はないように見える。インターネットにアクセスするための1つのアプリケーションに過ぎず、サーフェイスウェブ(表層Web)のURLを訪問するのに検索エンジンを開くこともできる。ただし、「.onion」の拡張子が付いたドメインを持つダークウェブのURLを開くことも可能だ。これらのWebサイトは、SafariやFirefox、Chromeといったブラウザーからは(通常の設定では)開けない。
Torブラウザーは標準の検索エンジンとしてDuckDuckGoを使用する。DuckDuckGoはGoogle検索の競合サービスであり、ユーザーの検索履歴を収集・共有はせず、プライバシーに配慮している点が特長だ。検索結果の質も着実に向上しており、ユーザーのあらゆる行動が広告主から監視されているという懸念が高まる中、プライバシーを気にするユーザーからは徐々にGoogle検索に匹敵するものと支持されつつある。
DuckDuckGoのようなサービスは、あまり広告を掲載しない。ユーザー自身や関心事項を分析するのが難しいということが、その要因だと考えられる(検索結果も個人ごとに最適化されていない)。プライバシーはDuckDuckGoの主要なセールスポイントだ。検索履歴や、検索した際の時間や位置情報、IPアドレスといった情報は取得しない。これらの情報は、Googleのビジネスモデルには欠かせないものだ。
ダークウェブ界のeBayを調査してみた
裏のフォーラムや通販サイトを検索してみると、ビットコインやその他の暗号資産(仮想通貨)と引き換えに薬物を販売する違法なサイトが、すぐに見つかった。レビューを閲覧したり、詳細についてオンラインチャットで質問したりすることもできる。取引の機密は保たれ、追跡は困難だ。強力な匿名性を悪用できるダークウェブは、プロの犯罪者や犯罪者予備軍にとって魅力的に思えるだろう。
この裏の世界について詳しく調べるため、違法な商品について検索してみた。あらゆる通貨の偽造紙幣や偽のID、PayPalアカウント、盗まれたクレジットカード情報(CVV番号を含んだ、すべてのカード情報)、ハッキング・アズ・ア・サービス、さらには登録していない銃弾を使った武器さえも扱うサイトを見つけることができた。恐ろしいほど早く簡単に、こうした情報を得られ、驚くほどに優れた顧客サービスもあった。
購入者から高い評価を得て、優れた顧客サービスで評判になっているサイトもいくつか目にした。問題が起きたときに備えて、電話番号を公開しているほどだ。サイトの継続性を担保する一方、その「正当性」を潜在的な買い手へ証明するために価格へ転嫁している可能性もある。その信憑性には疑いを持ったが、さらに調査を進めてみると、まっとうなサイトを用意するよりも、偽のサイトを作る方が手間がかかる可能性があることに気づいた。
殺し屋のサービスを提供するサイトにも出くわしたが、すぐに偽のサイトではないかと疑いの目を向けるようになった。情報がコピーされ、まったく同じように見えるサイトが複数あったからだ。
銃と薬物、そしてデータまでも
銃や薬物も販売されていたが、パスワードを含めた個人情報が拡散されていたことには考えさせられた。1つのデータベースを開いてみると、何百万行もの電子メールアドレスとパスワードを含めたデータを見つけた。
「password」という単語で検索してみると、数千におよぶアカウントがこの単純なフレーズをパスワードの一部として使用していることがわかった。
注記:以前の同僚である英国警察のデジタル担当と話し、筆者の行為は合法であると確認した。「ダークウェブ上で盗まれたデータを閲覧し、提案した範囲で使用するのは問題がない。取得したデータをどのような意図で用いるかにより、コンピューター不正使用法に基づき犯罪が成り立つ。」と述べている。
ダークウェブにあるサイバー犯罪のフォーラムでは無数のアカウント情報が公開されており、それらのオンラインアカウントの所有者は、不正アクセスの被害に遭うリスクがあるのは明らかだ。また、そのリスクは、盗難ログインのデータベースに登録されているアカウントだけではない。複数のオンラインサービスで同じパスワードを使い回す人が多いため、同じパスワードで保護されているほかのアカウントへ犯罪者が侵入できてしまうのだ。特に、クレジットカードのような機密情報を含んだアカウントの場合、その問題はさらに深刻となる。盗まれた、あるいは漏えいされたログイン情報は、さらなる情報漏えいをもたらす。企業の機密情報の漏えいにもつながる危険性があるのだ。
盗まれたパスワードを変更するのに加え、機能が提供されているなら、すべてのアカウントで二要素認証(2FA)を有効にしておく必要がある。犯罪者が盗んだデータは、ダークウェブから削除されることはない。そのため、データをセキュリティで保護し、すでに漏えいしたことが判明している情報は無効化しておくべきだ。漏えいしたデータは永遠に公開され続ける可能性が高い。パスワードマネージャーを使用したり、Webサイトには限られた個人情報のみを登録したりといったできる限りの対策を行いたい。Have I Been Pwned(HIBP)のようなサイトを利用すれば、電子メールアドレスとパスワードが既知の情報漏えいに含まれていないか確認できる。
Torブラウザーは、監視・追跡されることなくインターネットを自由に楽しみたいユーザーに多くの用途を提供している。同時に、ダークウェブの奥底にある真の闇にもつながっている。インターネット登場以来、存在してきたサイバー犯罪者が身を潜める危険な場所でもある。
一方、警察はダークウェブに対して焦燥感を抱えており、裁判所とともに犯罪者との戦いに直面している。匿名化ツールを手にした犯罪者の下には、あまり証拠が残らないということだ。さらに、密輸品を販売するのに、ダークウェブではなく、Telegramやその他のメッセージングアプリやソーシャルメディアが使われるようになったのも事態を悪化させている。これらの問題に興味があるなら、「ソーシャルメディアにまで波及するダークウェブ」の記事も参照してほしい。