製品ブログ

知らぬ間に個人情報も売買の対象となる「ダークウェブ」の危険性

匿名性が犯罪に利用される「ダークウェブ」

「ダークウェブ」とは、一般的なブラウザからは辿り着くことのできないウェブ環境で、検索エンジンにインデックスされていない「ディープウェブ」の一部です。「闇ウェブ」「ダークネット」などとも呼ばれ、一般のブラウザからはアクセスすることができません。

ダークウェブにアクセスするには、専用のブラウザを使用します。代表的なものが「Tor(The Onion Router/オニオンルーター)」と呼ばれるもので、現在は誰でも簡単にダウンロードして使用することが可能です[1]。

ダークウェブの一番の特徴は、匿名性。通常の検索ブラウザで通常のインターネット利用をしている場合、プロバイダ経由で直接各サイトにアクセスするため、IPアドレスでパソコン個体の特定が可能です。一方、Torなどのツールを使用するとプロバイダを経由した後、海外の複数のサーバをタマネギ(オニオン)のように重ねることで高い匿名性が確保されるのです。

元々Torは、米軍が機密情報や個人情報の安全なやり取りを目的に開発に関わっていたもので、“ダークウェブ=悪”というわけではありません。しかし匿名性が高いことから、さまざまな犯罪に利用されていることは事実です。

例えば2013年、「Silk Road」というダークウェブのサイトを運営していた男が逮捕されたことは有名です[2]。同サイトには非合法のドラッグがずらりと並び、ドラッグを入手するためのサイトとして知られていました。ダークウェブでは匿名性の高さが利用され、ドラッグの他にも拳銃や偽造紙幣、偽造パスポートなどの非合法コンテンツが日常的に売買されています。

ダークウェブに氾濫する個人情報

さらにダークウェブで取引きされているのは、“モノ”だけではありません。名前や電話番号、メールアドレスなどの個人情報や、不正な方法で取得されたIDやパスワード、クレジットカード情報などの情報も売買されているのです。

最近でも、不正に取得された数百万から数千万単位の大手SNSのログイン情報や[3][4]、米名門大学のメールアドレス[5]、クレジットカード情報などがダークウェブ上のサイトで売買されたことがニュースになりました[6]。

情報が帰属する個人だけでなく企業にとっても、不正に取得された個人情報がこのように容易に取引される環境があることは非常に危険なことです。日本では9割以上のユーザーが複数のサイトで同じパスワードを使い回しているとの調査結果もあり[7]、どこから自社に不正なアクセスが発生するか分かりません。企業には、不正なアクセスをいち早く発見し、被害を防ぐ自己防衛の対策が求められます。

(文/星野みゆき 画像/© Pedja Stojkovski – Fotolia)

【参考】

[1] Tor Project: Anonymity Online https://www.torproject.org

[2] Goldstein, J. (2013). Arrest in U.S. Shuts Down a Black Market for Narcotics. The New York Times.
http://www.nytimes.com/2013/10/03/nyregion/operator-of-online-market-for-illegal-drugs-is-charged-fbi-says.html

[3] O’Brien, S. (2016). LinkedIn data of millions of people for sale on dark web after hacking: expert. ABC News.
http://www.abc.net.au/news/2016-05-19/linkedin-data-breach-leaves-millions-of-people-exposed/7428110

[4] Beall, A. (2016). Has YOUR Twitter account been hacked? 32 million passwords are on sale on the dark web just weeks after LinkedIn data breach. Daily Mail Online.
http://www.dailymail.co.uk/sciencetech/article-3632757/Has-Twitter-account-hacked-32-million-passwords-sale-dark-web-malware-attacks.html

[5] Smith, C. (2017). Cyber criminals are sharing millions of stolen university email credentials. USA TODAY College.
http://college.usatoday.com/2017/04/25/cyber-criminals-are-sharing-millions-of-stolen-university-email/

[6] Abel, R. (2017). Russian PoS author gets 27 years in prison. SC Magazine.
https://www.scmagazine.com/russian-hacker-sentenced-to-27-in-prison-for-fraud/article/652532/

[7]トレンドマイクロ. (2014). パスワードの利用実態調査 2014.
http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20140609010140.html