インターネットの全体像とダークウェブの位置づけ

まず、私たちが普段利用しているインターネットは、実は全体のごく一部に過ぎないということをご存知でしょうか。インターネットの世界は、情報の公開範囲やアクセス方法によって大きく3つの階層に分類されます。よく「氷山」に例えられるこの構造を理解することから始めましょう。

誰でもアクセス可能な「サーフェイスウェブ」

氷山の一角、つまり海面から出ている部分にあたるのが「サーフェイスウェブ(Surface Web)」です。表層ウェブとも呼ばれます。


これは、GoogleやYahoo!などの検索エンジンで検索でき、誰でも自由に閲覧できるWebサイトのことです。企業のコーポレートサイト、ニュースサイト、ブログ、SNSの公開ページなどがこれに該当します。皆さんが今読んでいるこの記事も、サーフェイスウェブ上に存在しています。


しかし、驚くべきことに、このサーフェイスウェブはインターネット全体の情報のわずか数パーセントに過ぎないと言われています。

インターネットの大部分を占める「ディープウェブ」

海面下に隠れている巨大な氷山の本体部分、ここが「ディープウェブ(Deep Web)」、深層ウェブと呼ばれる領域です。
「ディープ」と聞くと怪しいイメージを持つかもしれませんが、実は違います。これは単に「検索エンジンにインデックスされない(検索結果に出てこない)ページ」の総称です。
例えば、以下のようなものが該当します。


・IDとパスワードを入力した後に表示される会員専用ページ
・企業の社内ネットワーク上のデータベース
・個人のメールボックスの中身
・銀行のオンラインバンキングのマイページ


これらは第三者が勝手に検索して閲覧できては困る情報です。インターネット上の情報の大部分はこのディープウェブが占めており、私たちの生活やビジネスに欠かせないインフラの一部となっています。つまり、ディープウェブ自体には違法性はありません。

匿名性が支配する「ダークウェブ」

そして、ディープウェブのさらに奥底、深海に潜む特殊な領域が今回のテーマである「ダークウェブ(Dark Web)」です。


ダークウェブはディープウェブの一部ですが、アクセスするために特定のソフトウェアや設定を必要とする点が決定的に異なります。通常のChromeやEdgeなどのブラウザではアクセスすることすらできません。


ここでは高度な暗号化技術によって通信の匿名性が保たれており、「誰が」「どこから」アクセスしているかを特定することが極めて困難です。この「追跡不可能性」こそが、犯罪者たちにとって好都合な隠れ蓑となってしまっているのです。

ダークウェブへのアクセスと「Tor」の仕組み

ダークウェブへアクセスするためには、専用のツールが必要です。その代表格が「Tor(トーア)」と呼ばれる技術です。

Tor(The Onion Router)とは

Torは「The Onion Router」の略称です。玉ねぎ(Onion)のように、通信経路を何重にも暗号化(皮を重ねる)して保護することからこの名が付けられました。


私たちが通常のインターネットを利用するとき、パソコンからWebサイトのサーバーへ直接(あるいはプロバイダを経由して)アクセスするため、IPアドレスなどの痕跡からユーザーを特定することが可能です。


一方、Torブラウザを使用すると、世界中にボランティアで設置された中継サーバーを複数経由して目的地にアクセスします。


「A地点からB地点へ、さらにC地点へ……」と、バケツリレーのように通信を回していくのですが、各中継地点では「前の地点」と「次の地点」の情報しか分かりません。さらに通信データ自体も暗号化されているため、最終的なアクセス先からは、最初の発信者が誰なのかが分からなくなる仕組みです。

技術自体に罪はない

ここで誤解してはいけないのが、Torという技術自体が悪ではないということです。もともとは米海軍が機密情報を守るために開発した技術がベースとなっており、現在でも言論統制が厳しい国で活動するジャーナリストや活動家が、プライバシーを守るために利用する正当なケースもあります。


しかし、その「身元がバレない」という特性が悪用され、サイバー犯罪の温床となっているのが実情です。

犯罪の温床となる「闇の市場」の実態

ダークウェブ上には、まるでAmazonや楽天のようなECサイト形式の「闇市場(ダークマーケット)」が存在します。そこでは、企業にとって致命的な情報やツールが商品として取引されています。

ランサムウェアによる情報漏洩の公開場所

近年、企業を最も震え上がらせているのが「ランサムウェア」です。ランサムウェアとは、感染したPCやサーバーのデータを暗号化して使えなくし、「元に戻してほしければ身代金(Ransom)を払え」と要求するウイルスです。


最近の手口はさらに悪質化しており、「二重脅迫(ダブルエクストーション)」が主流です。


・データを暗号化して業務を停止させる。
・「盗み出したデータを公開されたくなければ金を払え」と脅す。


このとき、盗まれた機密情報が実際に公開される場所こそがダークウェブ上の「リークサイト(暴露サイト)」です。企業が身代金の支払いを拒否すると、顧客名簿、設計図、社員の個人情報などが無差別に公開され、誰でもダウンロードできる状態になってしまいます。

クラッキングツールの販売とRaaS

かつてサイバー攻撃を行うには、高度なプログラミング知識が必要でした。しかし、ダークウェブでは「クラッキングツール」や「攻撃キット」が安価で販売されています。


さらに深刻なのが「RaaS(Ransomware as a Service)」というビジネスモデルの登場です。これは、ランサムウェアの開発者が攻撃ツールをサービスとして提供し、攻撃を実行する利用者が身代金の一部を手数料として開発者に支払う仕組みです。


これにより、技術力のない素人でも、ダークウェブでツールを入手すれば容易にサイバー攻撃を仕掛けられるようになってしまいました。これが、近年サイバー攻撃が急増している最大の要因の一つです。

漏洩した認証情報の売買

「初期アクセスブローカー」と呼ばれる業者は、企業ネットワークへの侵入に必要なIDやパスワード、VPN(仮想専用線)のアカウント情報を販売しています。


これらは、フィッシング詐欺などで盗まれたもののほか、セキュリティが甘い機器から抜き取られたものです。攻撃者は、自らハッキングを行わなくても、ダークウェブで「裏口の鍵」を買うだけで、大手企業のネットワークへ侵入できてしまうのです。

企業が知っておくべきリスクと対策

ダークウェブは「見えない場所」にあるため、自社の情報がそこで流通していても、被害が出るまで気づかないことがほとんどです。

情報が一度流出すると回収は不可能

デジタルデータの特性上、一度ダークウェブに流出した情報を完全に削除・回収することは事実上不可能です。コピーが拡散され、永久にインターネットの海を漂うことになります。


顧客情報の流出は、損害賠償請求だけでなく、社会的信用の失墜という、企業存続に関わるダメージをもたらします。

企業がとるべき現実的な対策

では、私たちはどうすればよいのでしょうか。ダークウェブを常時監視することは、専門知識がない限り困難です。まずは「予防」と「検知」に注力しましょう。

多要素認証(MFA)の導入

たとえIDとパスワードがダークウェブで売買されても、スマホなどによる二段階認証があれば、不正ログインを防ぐことができます。これは最も効果的で、すぐにできる対策です。

OSやソフトウェアの脆弱性対策

攻撃者は公開されている脆弱性(セキュリティの穴)を狙います。Windows UpdateやVPN機器のファームウェア更新を迅速に行うことが、攻撃の入り口を塞ぐことになります。

ダークウェブモニタリングサービスの活用

自社だけで監視が難しい場合は、セキュリティベンダーが提供する「ダークウェブ監視サービス」を利用するのも一つの手です。自社のドメインやメールアドレスが流出した際にアラートを受け取ることができ、パスワード変更などの初動対応を早めることができます。

まとめ

ダークウェブは、通常の検索エンジンでは見つからないインターネットの深淵であり、そこでは日々、企業を標的とした攻撃の準備が進められています。


「うちは大企業じゃないから関係ない」という考えは非常に危険です。攻撃者はターゲットを選ばず、脆弱性のあるところ、手に入れた鍵(パスワード)が使えるところを無差別に攻撃します。


敵を知り、己を知れば百戦危うからず。ダークウェブという脅威の正体を正しく理解し、基本的なセキュリティ対策を徹底することが、皆様の会社を守る第一歩となります。

テクノロジー 一般