なぜ個人情報は漏れるのか?(ダークウェブとは)
メールアドレスやカード番号といった個人情報の漏えい・窃取事件はなくなりません。ヤフーやFacebookといったメジャーなサービスから大量の個人情報が盗まれるという事件も起きています。これだけ世間を騒がせ、企業によっては業績や株価に無視できない影響がでるのに、なぜ、個人情報漏えいはなくならないのでしょうか。
理由はいくつか考えられます。ひとつはログインアカウントや個人情報が、犯罪者が狙うに足る価値を持った情報であることです。セキュリティ用語では情報資産の価値と表現することがありますが、個人情報はハッカーや犯罪者にとってアンダーグラウンドマーケットでの利益(ビジネス)に直結しています。
本稿では、これから3回に分けて、情報漏えい・窃取事件について攻撃者側の視点で、どんな情報がどんな手法で盗まれているのか、盗まれた情報はどう処理されているのかを考えてみたいと思います。
個人情報の流出原因
住所や氏名、クレジットカード番号、アカウント情報(IDとパスワード)はどのようにして漏れる、または盗まれるのでしょうか。国内の大規模な個人情報漏えい事件としては、ヤフー(2013年:2200万件規模)やベネッセ(2014年:3500万件規模)が有名です。ヤフーの場合はサーバーへの不正アクセスが原因とされていますが、ベネッセの場合は、内部犯行が原因です。
こうしてみると、個人情報を守るにはサーバーの保護対策と企業コンプライアンスをしっかりすることが大切となります。もちろんこれは企業やサーバー管理の視点で正しい対策方法です。しかし、これだけではサイバー攻撃や情報漏えいは防げません。
経済産業省・総務省・警察庁らの不正アクセスに関する調査では、2018年に不正アクセス禁止法違反(検挙数)のうち約95%がIDやパスワードの不正利用となっています。映画などでありがちな、システムの脆弱性を突いたハッキングは5%以下ということです。
攻撃者は、不正アクセスに利用するアカウント情報を「ダークウェブ」などの犯罪者どうしのアンダーグラウンドマーケットから入手しています。ダークウェブに出回る個人情報やアカウント情報は、不正アクセスによってサーバーから盗み出したものも含まれますが、標的型攻撃メールやフィッシング詐欺によって個人ユーザーから直接集められたものも少なくありません。
つまり、個人ユーザーレベルでは、自分でアカウント情報や個人情報をフィッシングサイト(偽造サイト)に入力してしまっている現実があります。そして、同じパスワードを他のサービスでも使いまわしていると、他のサービスの不正アクセスも許してしまいます。攻撃者は、不正アクセスを広げながらID・パスワードの組み合わせリストも補強・更新していきます。これらは再びダークウェブなど犯罪者ネットワークに広がっていきます。
サーフェスウェブ、ディープウェブ、ダークウェブの定義
犯罪者やハッカーの裏社会をダークウェブという言葉で表現することがあります。一部では、犯罪者専用の裏ネットワークという意味で使っていますが、用語の定義としてこれは正確ではありません。
ダークウェブに関連した用語を整理しましょう。
- サーフェスウェブ
Googleなどの一般的な検索エンジンにインデックスされ、一般的なブラウザで到達可能なウェブの領域です。通常、ウェブといったときはサーフェスウェブのことになります。
- ディープウェブ
サーフェスウェブ以外の領域すべてを指します。検索エンジンにインデックスされていないという意味は、例えば企業のイントラネットの中、クローズドなSNSの中も該当します。
- ダークウェブ
ディープウェブのうち、さらに特殊なブラウザを利用しないとアクセスできない領域です。
ダークウェブでは、確かにマルウェアや個人情報が売買されていたり、武器や違法薬物の取引も行われたりしていますが、この言葉の定義は、「特殊なブラウザでなければアクセスできないサイトやサービスで構成されたウェブ」です。犯罪者が使うか、違法な情報や取引が行われているかどうかはじつは関係ありません。
犯罪者以外に、誰がダークウェブを使うのかというと、たとえば反政府活動家です。世界には国内インターネットを監視下においている独裁国家、非民主主義国家も存在します。このような国では、自由なネット活動もできませんし、海外サイトへの接続もままなりません。政治活動でなくても、平均的な国では通信の秘密は保障されるべきものなので、権力や特定企業や組織に縛られない通信手段を持つことは基本的人権のひとつです。
事実、ダークウェブにアクセスするための特殊なブラウザ(Torブラウザが有名)は、オープンソースとしてだれでも入手することができ、インストールすることができます。民主主義国家において、Torブラウザでダークウェブにアクセスすることも違法ではありません。
どんな情報が流通しているのか
とはいえ、犯罪者やセキュリティ研究者でないかぎり、国家権力による不当な監視や人権侵害を受けたりする心配がない人は、ダークウェブにアクセスする必然はありません(通信の秘密は保証されている)。興味本位でアクセスしても、大した情報は得られないでしょう。
ダークウェブ上の犯罪者向けのポータルサイトやマーケットプレイスにたどり着くことはできるかもしれませんが、そこで本気で取引するにはサイトの許可を受けたりメンバーとして登録する必要があります。仮に犯罪者ネットに入れたとして、知識もスキルもなければ相手にされないどころか、逆に犯罪被害に遭いかねません。そのようなサイトや犯罪者グループが当局に摘発された場合、メンバーや顧客として扱われる可能性もあります。
2020年6月に拳銃自殺をした中学生が、ダークウェブから拳銃を購入したのではないか? という報道が一部ではありました。ダークウェブのマーケットプレイスでは、拳銃などや爆弾、兵器を売っています。代金させ払えば中学生でも売ってくれます。しかし、この事件でも、拳銃はダークウェブからの購入ではなく、外務省高官だった親の所持品でした。拳銃のようなわかりやすいものは、まず通関できないでしょう。
ダークウェブの犯罪者ポータルやマーケットプレイスでは、以下のようなものが取引されています。
- マルウェア・攻撃ツール
- DDoS攻撃、不正アクセス、ランサムウェア攻撃の請負
- アカウント情報、クレジットカード情報、社会保障番号(納税者番号)
- 銃、刃物、武器、兵器
- ドラッグ、違法薬物・薬品・毒物
- 児童ポルノ
犯罪者やハッカーは、マーケットプレイス以外、ダークウェブ上の鍵付きのメッセンジャーやチャットも使って情報交換や取引を行っています。ダークウェブ=犯罪者のネットワークではありませんが、これらの情報に近づくリスクや愚かさは理解できるでしょう。
次回は、盗まれた情報がどのようにダークウェブで取引されているのか、被害と攻撃事例を交えて解説したいと思います。
参考URL
- https://www.antiphishing.jp/report/pdf/phishing_report_2019.pdf
- https://www.jnsa.org/result/incident/2018.html
- https://www.ipa.go.jp/security/vuln/10threats2020.html
- https://www.ipa.go.jp/files/000079041.pdf
- https://www.meti.go.jp/press/2018/03/20190322003/20190322003-1.pdf
- https://www.meti.go.jp/press/2018/03/20190322003/20190322003.html
- https://www.meti.go.jp/press/2018/03/20190322003/20190322003-1.pdf
- https://www.npa.go.jp/publications/statistics/cybersecurity/data/R01_cyber_jousei.pdf
プロフィール
中尾真二(ITジャーナリスト)
アスキー(現KADOKAWA)で技術書編集、オライリー・ジャパン編集長を経て独立。
現在はWebメディアを中心に取材・執筆活動を展開。インターネットは、商用解放される前の学術ネットワークの時代から使っている。エレクトロニクス、コンピュータのバックグラウンドを活かし、セキュリティ、オートモーティブ(CASE/MaaS)、教育関係の記事・コラムを扱う。関連分野では、企業研修やセミナー講師としても活動中。