ネットの地下世界“ダークウェブ”の犯罪者フォーラムに潜入してみた：犯罪歴が参加条件

通常の方法ではアクセスできないダークネットに存在するダークウェブ。そこには、犯罪歴の証明が参加条件となるフォーラムもある。そうしたフォーラムではどのような情報がやりとりされているのだろうか。

[Aaron Tan，Computer Weekly]

　Sophosで上級研究者を務めるチェスター・ウィスニーウスキー氏の仕事は、製品チームの同僚とは異なる。同氏が脅威の調査に長い時間を費やすことはない。同氏の仕事はダークウェブの奥深くに入り込み、サイバー犯罪者が何をたくらんでいるかを明らかにすることだ。

　ダークウェブでの活動の多くは、薬物、ポルノ、銃、マルウェアを密売するオープン市場が中心になっている。中でもマルウェアは、漏えいしたエクスプロイトを利用して国家的な犯罪者が作成したものが商品化されている。こうした市場には簡単にアクセスできるとウィスニーウスキー氏は言う。

　「紹介さえ受ければ誰でも登録してアクセスし、違法薬物やマルウェアツールキットを購入できる」

　ダークウェブの中でも、ほぼロシア語で記述される閉鎖的なフォーラムへのアクセスはより難しくなる。

　ウィスニーウスキー氏は次のように話す。アカウントを取得するには紹介が必要になる。フォーラムによっては、参加条件として犯罪歴を証明させるなど多くの障壁を設け、規制当局が入り込まないようにしている。

　「ほとんどの場合、アカウントが承認されるまで6〜12カ月かかる。承認されたとしても、このようなフォーラムではロシア語のスラングが多用されるため、アクセスを維持するのは難しい」（ウィスニーウスキー氏）

　Sophosはロシア語を話せる担当者を雇用している。それでも、例えばロシア語で書かれた「ポテト」という用語の意味を突き止めるのは難しいとウィスニーウスキー氏は話す。ポテトは、ダークウェブを利用する犯罪者の間では盗み出したクレジットカードを意味する。「ロシア語のネイティブスピーカーでも、犯罪者が使うスラングは知らないだろう。スラングを理解するには、犯罪者のやりとりの内容を理解する必要がある」と同氏は話す。

　サイバー犯罪者がダークウェブを利用して、特定の企業を標的とする攻撃の調整や計画を行う可能性もある。だがウィスニーウスキー氏は、自身がアクセスしたフォーラムではそのような状況を確認していない。同氏によると、大半の標的型攻撃は偶然の機会に便乗した攻撃だという。こうした攻撃は、セキュリティが確保されていない企業情報を誰かが偶然見つけ、盗み出したデジタル情報の販売を試みることで起きる。

　「ほとんどの場合、犯罪者は標的を1つに絞っていないように思える。どちらかというと、幅広くわなを仕掛けてセキュリティが脆弱（ぜいじゃく）な企業を探して侵入し、パスワードや個人情報などのデータを盗み出し、そのデータの活用方法を知っている犯罪者に売っている」（ウィスニーウスキー氏）

　ウィスニーウスキー氏によると、パッチ管理などの適切なサイバー対策に従うことでこうした攻撃を防ぐことができるという。特定の標的に侵入するという明確な目標を持つ国家的な犯罪者とは異なり、機会に便乗する攻撃者はシステムに侵入するための努力を面倒だと感じるためだ。「このような犯罪者は単に脆弱な標的を探しているだけなので、企業は標的にならないようにするだけでよい」と同氏は補足する。

　これまでのところ、ウィスニーウスキー氏のチームが明らかにしたダークウェブでのサイバー犯罪者の手口は、Sophosが製品戦略を構築するのに役立っている。例えば2年前、サイバー犯罪者は自分たちのbotネットがセキュリティ製品にブロックされることに気付き、TLS（トランスポートレイヤーセキュリティ）を使用してその通信を暗号化し始めた。

　そこでSophosは、構成が非常に難しいネットワークファイアウォールに頼るのではなく、暗号化されたbotネットトラフィックをブロックするためエンドポイント製品にTLS暗号解除機能を組み込んだ。「多くの点で、ダークウェブの調査は犯罪者の活動がどのように変化しているかについての警告を当社にもたらす」（ウィスニーウスキー氏）