皆さんは「ダークウェブ」という言葉をお聞きになったことがあるでしょうか？

2020.5.15

サイバーセキュリティに関しては、新聞やテレビ等で記事を見ない日はないほど、情報が溢れており、この質問にイエスと答える人はかなり多いのではないだろうか？

ダークウェブを説明する際に、検索エンジン（googleやYahoo等）で検索できるウェブサイトとの比較を行うことが多く、氷山に例えて以下の三層に整理分類されることが多い。

一般的に検索エンジンで検索可能なウェブサイトを「サーフェス（表層）ウェブ」と呼ぶ。企業や公共機関などの公式サイトや、会員制・パスワード制になっていないSNSやECサイト、ブログなどがこれにあたる。一方、通常のブラウザ（ChromeやFirefox、Safari等）でアクセスすることができる点はサーフェスウェブと同じだが、検索回避の機能や、パスワードなどを必要とするウェブサイトのことを「ディープウェブ」と呼ぶ。

それに対して、「ダークウェブ」は検索エンジンでは見つけられないだけでなく、通常のブラウザでの閲覧は不可能であり、専用のツールが必要で、ここ数年は違法性が高い情報や物品が取引されたりしているサイバー空間である。

ダークウェブの元になった技術は、米国海軍によって開発されたもので、匿名性を確保することで、情報通信の秘匿性を確保する目的があった。そのために考案されたのが、玉ねぎ（オニオン）のようにいくつものレイヤーによってユーザーを隠す技術で、「オニオンルーティング」と呼ばれている。

オニオンルーティング技術は、「Tor（The Onion Router：トーア）」と呼ばれるようになり、その匿名性という特徴のため、民主化運動などにおいて二〇〇五年頃から拡がりを見せたが、犯罪者たちも違法な取引に使用し始めるようになる。そこに拍車をかけたのが、二〇〇九年に登場したビットコインをはじめとする暗号資産（仮想通貨）の流通である。これら暗号資産も所有者の匿名性が高いため、ダークウェブにおいて、足がつきにくい金銭取引・決済手段として犯罪者の決済ニーズにマッチした。

ダークウェブで取引されるものは、ID・パスワード、個人情報（住所・氏名・電話番号・メールアドレス等）、クレジットカード情報、マルウェア・ランサムウェア作成情報（最近では、これらを自動的に作成するサービスまで用意されている）、ウェブサイト攻撃（依頼のあったサイトを攻撃しダウンさせるサービス）、企業の機密情報など、ありとあらゆるものに拡がり、組織化・ビジネス化が進んでいる。

このような悪意のあるハッカーなどの犯罪者がダークウェブを活用している中で、我々企業はどのように対抗していくことが求められるのだろうか？

孫子の「彼を知り己を知れば」の言葉のとおり、企業は、自社のどのような情報がダークウェブ上で取引されているか把握する必要がある。具体的には「自社のメールアドレスとパスワードが出ていないか？」、「自社のスマホアプリなどが改竄されてマルウェア込みで公開されていないか？」、「自社の先端技術に関する情報が売買されていないか？」といった視点が求められる。

また、ダークウェブを逆手に活用する企業もある。例えば、闇取引市場におけるクレジットカード情報の価格は需給に伴い上下し、大幅に上昇しているときは、スマホ決済事業者をターゲットにした攻撃が行われていた時のように、犯罪者がカード情報を購入してなお、金銭的利益を得られる攻撃対象となるサービスがある場合が多い。つまり、市場価格の変動から、リスクの変化を検知しているのだ。

ダークウェブの調査は自社で行う必要はなく（むしろ自社でやることはリスクが高い）、サイバースレットインテリジェンス（サイバー脅威情報）提供サービスが活用できる。

当初は高価だったこれらのサービスも、AIの活用等に伴い、コストも下がりつつあるので、サイバーリスク対策強化の一つの選択肢として一考の価値はあるだろう。

以上