昨年12月のPayPay不正利用にも悪用されたダークウェブの最新動向

　3月14日、一般社団法人ブロックチェーン推進協会（以下、BCCC）は16回目となるリスク管理部会を開催し、ダークウェブの最新動向について、株式会社Geolocation Technologyの技術開発部主任である土佐晋作氏が講演を行った。

　技術的には、ダークウェブ自体はブロックチェーンとの関係はないが、ブロックチェーンで流出した仮想通貨がダークウェブを経由して転送されたり、ダークウェブ内部での地下取引（違法な取引）に仮想通貨が利用されたりすることがあり、ブロックチェーンの文脈において登場することが増えつつある単語であることからも関心も高まりつつある。

　この記事では、この講演で解説されたダークウェブについての現状認識や統計ついてまとめていくことにする。

ダークウェブとはなにか

　そもそも「ダークウェブ」とはなんだろうか。講師である土佐氏は図1に示すようにウェブページを3つに分類をした。

図1：見えるサイトと見えないサイト（出典：株式会社Geolocation Technology 講演資料、以下同）

　それによれば、ウェブページはグーグルなどの検索サービスで検索可能なページと検索できないページに分類され、前者をサーフェス（表層）ウェブ、後者をディープウェブと呼ぶとしている。さらに、ディープウェブのうち、犯罪性の高い情報が掲載されているページ群を特別にダークウェブと呼ぶとしている。グーグルで検索可能なサーフェスにあるパブリックウェブページは全体のわずか4％程度にすぎず、全ウェブページの96％がディープウェブであるという調査もある。このディープウェブのなかには動的に生成されるウェブページをはじめ、SNSや有料コンテンツサイトのようにパスワードで保護されているページ、リンクされていないページなども含まれるので、それすべてが犯罪性の高いページではないが、こうした実態については理解をしておくべきだろう。

　一方、ダークウェブは「アクセス制限されたネットワーク」ということができ、一般のインターネットプロトコルでのアクセスだけでは遮断されているウェブサイトである。具体的にはTor（The Onion Router）、I2P（Invisible Internet Project）、Freenetなどのツール（技術）が用いられていて、とりわけ、最近ではTorを利用することが増え、「ダークウェブ＝Tor」といっても過言ではない状況にあるという。さらに具体的にいうなら、Torのアプリケーションをインストールすることで利用することが可能である。

　なお、「ダークネット」という語もあるが、こちらは特定のホストが割り当てられていないIPアドレス空間のことである。ダークネットもマルウェアの温床となるとされているが、ここでいうダークウェブとは異なることに注意が必要だ。

Torとはなにか

　TorとはThe Onion Routerの略であり、複数のノードを経由（リレー）する仮想回線接続（オニオンルーティング：タマネギの皮のように暗号化が積み重ねられている様に由来）を用いて、通信元からの接続経路を匿名化する技術である。

図2：Tor（The Onion Router）の概要

　例えば、図2に示したように、コンピューターAからコンピューターBへとアクセスするケースにおいては、インターネット上にある複数のTorのノード間をランダムに経由するため、送信元のノードがどこであるかをたどることが困難になることから、誰がアクセスしたかという点での秘匿性が高いことが特徴となっている。

　この技術は1995年に暗号化通信方式として考案され、アメリカ海軍研究所（The Office of Naval Research）が出資して、開発が始められたという。その後、1997年にはアメリカ国防高等研究計画局（Defense Advanced Research Project Agency）が支援を開始し、2003年にはオープンソフトウェアとしてリリースされている。その後、Reddit（英語圏版の匿名掲示板サービス）をはじめ、多くのスポンサーからの寄付を受け、開発が続けられている。

　そもそもは「インターネット上で、自由に発言したり、活動したりすることを保障しよう」というコンセプトのもとで導入され、情報提供者の保護や検閲の回避、諜報・軍事目的とされていた。

　なぜこうした技術がオープンソースになったかというと、軍独自の技術にしておくと、トラフィックを監視しているだけでそれがTorによる通信であること＝軍の通信であるということが特定されてしまうことから、一般にも利用できるようにすることで軍の通信であるということの特定を難しくしようという意図であるという。

　Torの仕組みは次に示す図3のようなものである。コンピューターAからコンピューターBへアクセスをしようとした場合、「ガードリレー」というTorのネットワークの入り口となるノードへ接続し、「中間リレー」という複数のノードを経て、「出口リレー」というTorネットワークの終端ノードへ到達する。この出口リレーが目的とするコンピューターBへとアクセスをする。

図3：Torの仕組み

　この図からも類推が容易なように、「出口リレー」とターゲットとなるコンピューターBの間は一般的な接続と同様、httpsを使っていなければ盗聴が可能であるということから、その脆弱性を利用しようとする動きもあるという。

　Torを構成する各部分でどのような処理が行われているかを示しているのが図4である。送信元では送信を行う前に、送信するTorノードの経路をランダムに決め、それぞれのノードで復号化可能な暗号化を重ねるところがタマネギと例えられるゆえんである。

図4：“Onion”の由来

Torノードの利用状況

図5：Torの普及状況＜推定ユーザー数＞

　図5はThe Tor Project（開発元プロジェクト）が発表している世界のダークウェブ利用者推移である。最近では、おおよそ200万人前後で推移をしている。2013年ごろに急増しているのはマルウェアがTorを利用したことが原因である。2018年はじめの増加は、仮想通貨NEMの大量流出事件のときに一時的にユーザーが増加したもの。

図6：Torの普及状況＜推定ユーザー数：日本＞

　図6は日本国内のユーザー数で、おおよそ2万5000人前後で推移をしている模様だ。なお、マルウェアやbotからの利用もあるので、「ユーザー数」といっても人間の数を示しているわけではない。

図7：Torの普及状況＜.onionサイト数＞

　図7では.onionサイト、つまりTorのなかでしか参照ができないドメイン名の下で情報を提供しているサイト数の推移であり、ここのところ増加傾向にある。しかし、その多くは実験的に立ち上げて、すぐに消滅するものなども多いということだ。

図8：Torの普及状況＜トラフィック＞

　図8はトラフィック量の推移を示している。トラフィック量は年々増加を続けていることがわかる。ユーザー数やサイト数が増えていないのに、トラフィックが増える理由はやりとりの頻度やファイルサイズが増加していることに起因するのではないかと分析している。

ダークウェブとTorに関する最新動向

　ダークウェブが広く知られるようになったのは、NEM流出事件がきっかけとなった。2018年流行語大賞の候補として「仮想通貨／ダークウェブ」がノミネートされたのは記憶に新しいところだ。

　そして、2018年12月にはスマートフォンのQRコード決済サービスPayPay（ペイペイ）のサービスイン後、ダークウェブではPayPayでの脆弱性を利用することで創り出された認証済みクレジットカード番号が売買されるという事件が発生した。

　それ以外にも、国際的には流出した大量のアカウント情報をまとめたデータが売買されたり、無料でダウンロードができるようなっていたりするのが発見されている。

　一方で、Torプロジェクトへの寄付金が過去最高額に達したとも発表されている。

　また、最近ではダークウェブ内での情報交換に利用される掲示板などへのアクセスも容易ではなくなってきているため、一般の人がちょっと使ってみた程度で得られる情報のなかに、表立っては大きな犯罪に結びつくような事例は確認されていないという。

まとめ：今後も地下空間は広がる可能性がある

　Torという技術は、当初の開発コンセプトから大きく離れ、ネットワーク上の犯罪などの温床となってしまっているのは残念である。しかしながら、その技術がある意味では有効に作用していることの証しということでもあろう。

　今後、ダークウェブが犯罪の舞台となることで、捜査機関がダークウェブの調査や捜査を行ったり、メディアで露出が増加したりすることが増加すると考えられるとしている。

　さらに、国家間でのサイバー攻撃が激化するなかで、攻撃手法のやりとりなどがダークウェブを通じて行われている状況が観測されているとも伝えられていることから、こうした裏のウェブ世界があるということは、インターネットを利用するわれわれにとってのリテラシーとして認識を新たにしておくべきだろう。