ダークウェブが供給するツールと知恵 ~サイバー攻撃の敷居が下る~ | |
---|---|
作成日時 25/01/21 (08:28) | View 318 |
専門用語の域を脱したダークウェブ
2024年はサイバー攻撃による大きな被害が続出し、ダークウェブに触れた報道が増えた年でした。特に夏以降は、情報セキュリティとIT分野だけでなく、一般のビジネス系メディアでも、注釈無しで普通名詞として使われるケースもありました。
ランサムウェア攻撃で窃取された機密情報がダークウェブで公開され、ここに一般人がアクセスして情報を拡散するという問題も起きました。ダークウェブの認知度が上がったのは、この事件が一つの契機でしたが、今回は攻撃の基盤としての角度から、ダークウェブの最近の動向と一般企業が留意すべき点を整理してみましょう。
ダークウェブはオープンスペース
まず企業や団体などが公開しているサイトはサーフェス(表層)ウェブ。これに対し、企業、行政機関、学術団体などの内部、特定サービスの会員など、非公開で利用者を限定したスペースがディープ(深層)ウェブです。
氷山にたとえた図式では、海面から上の部分がサーフェス、水面下の巨大な氷の塊はディープ、そして最深部に位置する氷がダークウェブと呼ばれています。誰にでも見える領域ではない点では、ダークウェブもディープウェブも同じです。しかし、ダークウェブは利用方法さえ会得すれば、構造的には誰でもアクセスできるオープンなスペースです。
ダークウェブの本質は匿名性
Googleのような一般的な検索エンジンでインデックス化できない点は、ディープウェブとダークウェブは同じです。
ディープウェブは、TCP/IPというプロトコル(通信方式)と一般のWebブラウザを用いる点では、通常のインターネットアクセスと同様ですが、利用できるIPアドレスの制限、外部からのリンクを設定しない、ユーザー認証、暗号化による通信内容の保護などの方法で、サーフェスウェブから分離します。
一方、ダークウェブの本質は匿名性です。TCP/IPに匿名性を高めるプロトコルを追加し、サイトへつながる入口と出口の間に複数のノード(中継点)を置いて、ノード間の通信はすべて暗号化。幾重にも積み重なった暗号によって、利用者と経路の特定を難しくするという仕組みです。onionという方式ですが、剥いてもまた同じような形の実が現れる多層構造のタマネギから命名されました。
不用意なアクセスは禁物
ダークウェブは、サーフェスウェブやディープウェブと違い、onionの経路制御を処理できるTor(The Onion Routing:トーア)などの専用ブラウザがなければ通信できません。裏を返せば、これがあれば誰でもサイトに入ることはできます。もちろん、ダークウェブにも会員制のクローズドスペースはあるとしても、構造上のポイントは、サーフェスからの深度ではなく匿名性なのです。
ただし、Torブラウザを入手できたとしても、興味本位で覗くことはお勧めできません。ダークウェブは安全な場所ではないからです。詐欺やフィッシングが蔓延し、“無料ツール”などと称してマルウェアが仕込まれたファイルやリンクが散在します。サイト運営者に行動を監視され標的にされるリスクもあります。
またダークウェブ自体は違法ではありませんが、違法なコンテンツが多く含まれ、これを入手すると法的責任を問われることもあります。一部の国で監視対象になっているサイトは、入っただけで犯罪を疑われる可能性もあります。セキュリティの専門家も、調査目的でつなぐ際は細心の注意を払います。ダークウェブが危険な場である点は、十分に留意するようにしてください。
サイバー攻撃の新規参入が増加
ダークウェブはリスクが高い場所ですが、認知度の向上もあって自己責任でも入る人が増えており、結果としてサイバー攻撃の“新規参入”を大量に産み出しているものと推測できます。最近はこうしたニーズに呼応するためか、ダークウェブ側も少しずつ変化しているようです。
まずマルウェアの分野では、マルウェア本体と生成ツール。スキルが高いエンジニアは、企業側の防御を回避するような高度なマルウェアを生成する技術を持っていても、責任を回避するため自身では使わず、“システムのテスト用”“教育目的”などと称してマーケットに出し、これを実行犯が買うという構図があります。
ここ数年、最大級の脅威になっているランサムウェアにもこのパターンが当てはまり、かつ二極化が進む傾向が見えてきました。
無差別攻撃も拡がるランサムウェア
ランサムウェア攻撃の形は、まず犯罪グループが企業や病院など身代金を取れそうな組織に的を絞り、暗号化に加えて機密情報を公開すると脅す“二重脅迫”を仕掛ける手口、そしてもう一つは、新規参入を含め経験が浅い攻撃者が安価なツールを入手し、視野に入ったところから次々に狙うやり方です。
初心者向けの後者には、入念な調査を経た標的の設定と強固なセキュリティガードの突破、そして窃取する情報の選別など、高度なスキルは要求されません。ランサムウェアの“基本機能”である暗号化に特化した攻撃を無差別に仕掛けても、被害企業から身代金を取れる可能性はあるというわけです。
“大物狙い”の前者と違い、後者は機密情報を保持しているか否かに関わらず、業務にシステムを使っているすべての中小企業、個人事業主も標的に入るでしょう。効果はまだ実証されていないようですが、1回限りの使用に限定した激安のランサムウェアが出品されたとの報告もあります。
若年層も取り込むサブスク方式
サイバー攻撃への参入障壁を下げた商材の一つに、大量のデータを送りつけてサーバーの動きを妨害するDoS、複数のコンピュータから一斉に攻撃を仕掛けるDDoS攻撃があります。
DDoSは1時間の攻撃で10ドル~50ドルが相場とされ、攻撃するエリア、時間などはカスタマイズできます。DDoSに使うボットネットは週や月の単位でレンタルでき、運営側は感染済みのコンピュータを数千~数万台はキープしているようです。
DDoSもダークウェブでは、“サーバーの耐性をテストするツール”“実験用”などと称し、提供側の責任を逃れるようにしてあります。この攻撃は警察庁も注意喚起しており、“DDoS攻撃は犯罪です!”のキャッチとそれに続く文面からは、未成年者も対象にしたメッセージと思われます。
ダークウェブの動きを読んだ対策を
ダークウェブの動きに対し、一般企業が留意すべき点はいくつかあります。
前提として、現在は大企業でも不正侵入の100%阻止は難しくなっていること。境界型防御から脱却して、ゼロトラストモデルによるセキュリティ対策の更新など、進化する攻撃手法に対応するために自社の働き方に合わせた対策が必要です。
もう一つは情報戦です。
脅威インテリジェンスやダークウェブモニタリングを活用して、攻撃の動向と自社と関連企業からの情報漏えいを察知し、即座に手を打っていくことです。
そして中小企業にとって差し迫ったリスクは、新規参入者の増加とサイバー攻撃の大衆化です。安価なマルウェアの購入者、犯罪グループで末端の作業を受け持つ歩兵の行動をブロックするため、定期的なログ点検、脆弱性の是正など、基本の実践に加えて、ダークウェブを監視する二段構えの体制を維持するようにしてください。