漏えいパスワードが売買!?ダークウェブとは何か
2017年11月に、配車サービスであるUberが、1年前に把握していた5700万件の情報漏えいを公表していないことが明らかとなりました。漏えいした情報には、氏名、メールアドレス、電話番号、登録ドライバーの運転免許証番号などが含まれていました。そして、こうして漏えいした情報は、「ダークウェブ」で売買され、多くのハッカーの手に渡り続けることになります。
ディープウェブ (深層ウェブ) とダークウェブの違い
ダークウェブとは、検索エンジンではたどり着けないインターネット上の情報(ディープウェブ、深層ウェブなどと呼ばれます)の中で、特に犯罪目的で利用されている情報を指します。
GoogleやBingなどの検索エンジンは、サイトをリンクからリンクをたどり情報を収集、整理して検索結果として表示する「クローラー」という仕組みを持っています。しかし、「サイトを検索エンジンに表示させたくない」場合、「このサイトは検索結果に表示しないでほしい」とサイト上でタグを入れておくことで、検索結果に表示させないことができます。
こうして、検索エンジンでいくら検索しても表示されない情報、URLを知っている人が直接打ち込まないたどり着けない情報がディープウェブです。「ディープウェブ」は、インターネットの深層にあり容易にたどり着けないという意味です。ちなみに、ディープウェブは「容易にたどり着けない情報」を指し、犯罪性がない情報も多数ディープウェブに存在します。
そして、ダークウェブはディープウェブの一部ですが、犯罪性がある情報を扱うという性質上、普通にブラウザでURLを入れてもアクセスできないようになっています。特定のソフトウェアをインストール、設定し、通常使われていないプロトコルやポートの設定を行うことでようやっとアクセスできるようになります。
ダークウェブでやり取りされているものは、有名サイトから漏えいしたID・パスワード・クレジットカードなどの個人情報、覚せい剤などの違法薬物、違法ポルノなどがあります。売買していること、また所持していることが判明したら刑事罰に問われるものばかりです。このため、ダークウェブにアクセスする人を匿名化する必要があるため、「Tor」という通信経路を匿名化するためのツールが利用されています。
仮想通貨により取引が活発化
ダークウェブ上で、違法な情報や薬物などを売買することで、金銭を得ようとする人が後を絶ちません。かつては、どのように決済するかが大きな問題となっていました。あらゆる決済方法は匿名化されておらず、後をたどっていくと本人が特定されてしまうためです。
しかし、仮想通貨の登場によりこの決済にまつわる問題はほぼ解決しました。ビットコインなどの仮想通貨の決済は、決済を仲介する企業が間に入りデータを収集保管することはなく、売り手と買い手で直接ビットコインという情報をやり取りするだけで完了します。このため、売り手にとっても買い手にとっても、違法な情報や薬物を「安全」に売り買いできるようになったのです。
ダークウェブにおけるもっとも有名な売買サイトは「シルクロード」と呼ばれるサイトでした。このサイトでは、免許証などのID、コカインやMDMAなどの違法薬物、違法コピーされたDVDやブルーレイ、偽ブランド品、銃器、ウランなどの放射性物質、ハッキング指南書などが流通していました。そして決済はビットコインのみが利用可能でした。なお、シルクロードは2013年にFBIにより摘発、創始者が逮捕され閉鎖されましたが、同種の違法マーケットプレイスは現在でも多数運営されており、いたちごっこの様相を呈しています。
また、仮想通貨を利用して犯罪者が匿名性を維持したまま収益を得る方法は、ダークウェブ以外でも利用されています。2017年5月に猛威を振るったランサムウェア「WannaCry」は、感染したパソコンが強制的にロックされてしまうものですが、このロックを解除するにはビットコインでの送金が必要になりました。
ID・パスワードはどのように売買されているのか
では、有名サイトから流出したID・パスワードなどを含む情報が、ダークウェブ上でどのように売買されているのでしょうか。ここでは、2012年に1億1700万人の個人情報を漏えいさせたLinkedinユーザーの個人情報について、Forbes誌の報道を例に見ていきましょう。
まずLinkedinでは、情報漏えいの対象となった2012年以前に登録したユーザーのパスワードを強制リセットを行っています。しかし、一部のユーザーはパスワードを未だ変更していなかったり、Linkedinで使っているパスワードを他のサイトでも使い回していることが多々あります。ダークウェブ上でID・パスワードを違法に購入する狙いは、この使い回しパスワードを利用した、他サイトへの不正アクセスとなります。
フォーブスによると、Peaceと呼ばれる情報ディーラーが5ビットコイン (当時 2200ドル相当) で1億1700万人の個人情報を購入しないかと持ちかけてきたとのことです。1人あたりの個人情報の金額はわずか0.0000188ドル、1セントの数百分の1という劇的な安さです。多くのID・パスワードは既に使えなくなっている可能性が高いですが、ここからたった数件不正アクセスに成功して、不正な利得を得られれば、2200ドルという金額は「割のいい投資」となります。
ID・パスワード管理の強化でダークウェブから情報を守る
ダークウェブにおけるID・パスワードの流通は、そもそも個人情報の漏えいが発生しなければ起こりません。よって、ID・パスワードの漏えいならび二次被害を防ぐためには、大規模な個人情報にアクセスできるシステム管理者が、ID・パスワードを漏えいさせない仕組みが必要となります。
具体的には、重要情報にアクセスする際には複数の認証方法を用いるなどの方法となりますが、その中の一つに「パスワードマネージャー」「IDaaS (Identification as a Service: クラウド型IDパスワード管理サービス)」などのツールを利用するという方法があります。個人がパスワードを記憶することよりも、こうしたツールを利用することで、1つの強力なパスワードのみを記憶し、それ以外の個々のシステムのパスワードはIDaaS上で一元管理することができます。これにより、「複雑なパスワードの設定」と「パスワードの使い回しを防ぐ」という両方の問題をクリアすることができます。
弊社が提供するトラスト・ログインは、長年SSL認証局を提供しているGMOグローバルサインが提供する無料のIDaaSサービスとなります。企業全体での利用だけでなく、特に高度なIDパスワード管理が必要なシステム管理者のみの利用も可能です。アプリ数無制限、ユーザー数無制限で無料でご利用いただけますので、以下から新規登録、ご評価ください。
