
最近、ニュースで「情報漏洩」「個人情報の不正流出」といった言葉を耳にする機会が増えていませんか?その背景には、“ダークウェブ”の存在があります。
情報セキュリティを担当する方にとって、ダークウェブの仕組みやリスクを正しく理解することは、もはや避けては通れない課題です。
本記事では、ダークウェブの概要から、実際の被害事例、そして企業がとるべき現実的な対策までを分かりやすく解説します。
目次
ダークウェブの概要
ダークウェブとは、特殊な手段を利用しないとアクセスできないインターネット環境の事を指します。
インターネットは、実は大きく3層に分かれています。
-
一般的な検索でアクセスできる「サーフェスウェブ」
-
パスワードや制限で保護された「ディープウェブ」
-
そして、特殊な手段を使わないとアクセスできない「ダークウェブ」
ダークウェブには、Tor(The Onion Router)などの匿名化ツールを使ってアクセスし、通常のブラウザでは入れず、.onion
という特殊なドメインで構成されています。
Tor以外にも、I2P(Invisible Internet Project)やFreenetなどの匿名ネットワークも存在しており、いずれも中央管理者が存在しない分散型構造をとることで、追跡困難な通信環境を実現しています。
ダークウェブという言葉はしばしば犯罪と結び付けられがちですが、本来の存在意義は匿名性を確保するための手段としての役割にあります。
言論統制が行われている国では、ダークウェブは報道関係者や人権活動家にとって、自由な情報発信の場として機能しています。また、情報提供者の保護や内部告発などに活用されることもあり、意外かもしれませんがすべてが違法活動に利用されているわけではありません。
たとえば、The GuardianやNew York Timesは「SecureDrop」というシステムを導入し、匿名での情報提供を受け付けています。
一方、犯罪者にとってもこの匿名性は極めて魅力的であり、ダークウェブを活用することで取引の痕跡を隠蔽し、違法ビジネスを成立させる場として悪用されています。特にサイバー犯罪者にとっては、マルウェアやゼロデイ脆弱性の売買、ランサムウェアによる恐喝の際の連絡手段や金銭受取の場として重宝されています。
つまり、ダークウェブは必ずしも“悪の温床”ではなく、匿名性が正義にも悪にも使われる、まさに“諸刃の剣”なのです。
ダークウェブへのアクセスは違法ではない
前述した通りダークウェブはあくまで秘匿性の高いインターネット環境であるため、アクセスする事については何ら違法性はありません。
一方で、漏えいした情報を売買したり暴露する行為は違法であるのでアクセスではなく、悪意ある行為が違法になります。
ダークウェブが悪用された事例
ダークウェブでは、サイバー攻撃に悪用する脆弱性の情報や窃取した情報の公開などが行われており日本企業も実際に被害に遭っています。
BlackSuitがKADOKAWA社やニコニコ動画への攻撃で窃取した情報を公開
2024年6月8日に発生したKADOKAWAグループへの大規模なサイバー攻撃により、ニコニコ動画を含む多くのサービスが影響を受けました。
主な影響としては、複数のサーバーがアクセス不能となり、データが暗号化されました。また、KADOKAWAグループの出版事業やMD事業などにも影響が出ました。攻撃者はBlackSuit(ブラックスーツ)と名乗るロシア系ハッカー集団であるとされています。
BlackSuit(ブラックスーツ)はダークウェブのグループサイトで犯行声明を発表した後に、実際に窃取した情報を公開しました。
BlackSuit(ブラックスーツ)が窃取したとするデータの概要は以下です。
- 契約に関する情報
- 電子契約に関する情報
- さまざまな法的文書
- プラットフォームのユーザー関連データ(電子メール、データ使用、開いたリンクなど)
- 従業員関連データ(個人情報、支払い、契約、電子メールなど)
- 事業計画(プレゼンテーション、電子メール、オファーなど)
- プロジェクト関連データ(コーディング、電子メール、支払いなど)
- 財務データ(支払い、振替、計画など)
- その他の内部使用専用の文書および機密データ
DDoS攻撃代行サービス(通称:booter/stresserサービス)の提供
stresserやbooterサービスは、DDoS攻撃を「オンデマンド化」した商用サービスで、本来はネットワークのストレステストを目的と謳いながらも、実態は悪質なサイバー攻撃の道具として機能しています。これらは感染機器によるボットネットとは異なり、中央集権的に運用されるDDoS攻撃インフラを用いるのが特徴です。
取引は主にアンダーグラウンドフォーラムやダークウェブ、テレグラム(Telegram)のチャンネルを通じて行われ、仮想通貨などでの匿名支払いが一般的です。日本でもDDoS攻撃代行サービスに依頼してサイトを攻撃させた方が逮捕されました。
脆弱性の売買
海外のセキュリティ企業が企業や官公庁でも広く導入されているFortinet社のFortiGateファイアウォールに関する深刻なゼロデイ脆弱性の販売情報が、著名なダークウェブフォーラムに掲載されたと報告しています。
この脆弱性が本物であれば、FortiOSに対する未認証のリモートコード実行(RCE)および全設定情報への不正アクセスが可能とされており、極めて重大なリスクとなります。
企業が今すぐ取り組むべき対策
ダークウェブにおけるリスクを完全に排除することは困難ですが、企業として以下のよう
な多層的なアプローチが求められます。
まず、自社の情報がダークウェブ上に流出していないかを定期的に監視する「ダークウェブモニタリングサービス」の導入が有効です。これにより、社員の認証情報や機密情報の漏洩兆候を早期に検知することができます。
次に、社内のセキュリティ意識の向上も不可欠です。そもそもの被害、例えばフィッシングメール等による初期侵入を防ぐためには、定期的なセキュリティ教育と実践的な訓練の実施が求められるからです。
また、ゼロトラストモデルの導入によって、信頼できるネットワーク内でもアクセス制御を厳格に行い、情報の拡散を最小限に抑える体制を構築することも有効です。また、多要素認証(MFA)の徹底やエンドポイント保護の強化、脆弱性パッチの即時適用など、基本的なセキュリティ対策の積み重ねも重要です。
さらに、漏洩発生時の対応計画(インシデントレスポンス計画)を明文化し、実際の演習を通じて迅速な初動体制を整えておくことが、企業としてのリスク耐性を高める鍵となります。
まとめ
ダークウェブは、匿名性を武器にした情報流通の舞台として、善悪両面の顔を持っています。ただし、企業の情報セキュリティ担当者にとっては、ダークウェブの違法的側面を恐れることが多いでしょう。ダークウェブを単なる脅威として捉えるのではなく、その存在を前提にしたセキュリティ設計と情報監視体制の整備が不可欠です。
今後も、ダークウェブに起因する情報漏洩やサイバー攻撃は継続的に発生、増加することが予想されます。
ゆえに、技術的対策と人的対策を融合させた包括的なセキュリティマネジメントを実施し、未知のリスクにも対応できる柔軟性を企業として備えておくことが、
真の意味での「守りの強さ」と言えます。