FC2ブログ

ダークウェブの実態 ~仮想通貨NEMの不正流出事件と取引の追跡方法も







一般社団法人ブロックチェーン推進協会(BCCC)が毎月定例で開催しているリスク管理部会の第7回(3月29日開催)で、「ダークウェブ」の情報が共有された。ダークウェブの解説から利用方法、そして実際にアクセスしている様子まで紹介され、その実態に迫った。

 冒頭で、BCCC代表理事の平野洋一郎氏があいさつした。BCCCの加盟社数は200社を超えており、ブロックチェーンが普及するにつれ、注目度が高まっていることが伺える。そんなブロックチェーンの周りにはさまざまなリスクがあり、管理部会では6つのリスクに分類して取り組んでいるという。そのようなリスクが世の中で大きく顕在化した事案があれば、内容をタイムリーに変更して開催しているとのこと。今回も、今年1月に起きた仮想通貨NEM(ネム)の不正流出事件に絡めた内容も紹介された。

ダークウェブの実態を紹介してくれたのは、株式会社Geolocation Technologyプラットフォーム部課長である仁科幸彦氏。静岡県警で行った「捜査機関向け研修プログラム」の内容を紹介してくれた。仁科氏は2016年に、現在のGeolocation Technology(当時はサイバーエリアリサーチ株式会社)に入社。このリスク管理部会には最初から参加しており、以前はホストコンピューターなどのプログラムも書いていたという。

 まずは、ダークウェブについての基本情報が紹介された。インターネットには、GoogleやYahoo!では検索できないサイトもたくさんある。そのサイト群はディープウェブと呼ばれ、そのうち犯罪性の高いサイト群をダークウェブと呼んでいるという。Googleで検索して閲覧できるウェブサイトは、全体のごく一部なのだ。

 セキュリティ企業のトレンドマイクロが「ディープウェブ」の定義としている条件も紹介された。HTTPリクエストで動的に生成されるページや、検索エンジンクローラーの巡回を禁止したサイト、登録やログインが必要なサイト、非HTMLサイトやスクリプト化されたサイトなどがディープウェブというカテゴリーに入る。そして、公共のインターネットインフラからアクセスできないサイトが「ダークウェブ」となるという。

 アクセス制限されたネットワークには、「I2P(Invisible Internet Project)」や「Freenet」といったものもあるが、ほとんどが「Tor(The Onion Router)」となるとのこと。Tor(トーア)とは暗号化されたリクエストを複数のノードを経由させることで匿名化を実現する技術のこと。ちなみに、「ダークネット」という単語と混同されがちだが、こちらは特定のホストが割り当てられていない未使用のIPアドレス空間のことを意味するので覚えておきたいところだ。


「ダークウェブの実態」というテーマでいろいろな情報が共有された

講師は株式会社Geolocation Technologyプラットフォーム部課長の仁科幸彦氏

 Torは、VPNのような仮想回線接続を重ねて接続経路を匿名化する。この重ねるというイメージからたまねぎが連想され、「The Onion Router(ザ・オニオン・ルーター)」という名前が付けられた。元々は、1995年にアメリカ海軍研究所が出資して研究がスタートし、1997年にはアメリカ国防高等研究計画局が支援した。2003年にOSS(オープンソフトウェア)としてリリースされ、多くのスポンサーから寄付を受けて開発が続行されているという。「自由にネットで発言、活動することを保障しよう」というコンセプトで作られたもので、犯罪目的で作られたものではない。

 「日本にいると感じられないのですが、政府が言論を統制しているような国にいる人が、自由に発言したいという需要があるようです。そういった方たちの活動を保障するようなかたちで、Torが普及しだしました。」(仁科氏)

 続けて、推定されるTorのユーザー数のグラフが紹介された。基本的には右肩上がりではあるのだが、2013年の途中でグラフが一気に跳ねている部分がある。

 「2013年のころ、活動していたマルウェアが取得したデータをTorに流していたことがあり、利用者数が増えたように見えています。基本的には徐々に増えているということになります。」(仁科氏)

 Torのトラフィックのグラフを見ると、2013年が跳ねるようなこともなく、普通に右肩上がりとなっている。

Torネットワークの中で複数のノードを経由することで、接続経路を匿名化している


Torの推定ユーザー数のグラフ。2013年が飛び抜けているのは、マルウェアの動作が原因とのこと

 Torのサーバーを構築するのも簡単にできる。自宅のPCでもいいがセキュリティのためにも避けた方がよいとのことで、VPSサービスがいくつか紹介された。サーバーが用意できれば、Torをダウンロードし、ファイアウォールの設定などをすればいいだけだという。その後、数日待てばTorネットワークに参加できるようになる。

 Torのネットワークにあるダークウェブを閲覧するには、専用のTorブラウザーが必要になる。TorブラウザーはGoogleなどで検索すれば、すぐに見つけられる。Torを起動すると、自動的にTorネットワークに接続される。

 Torブラウザーを利用してアクセスすると、通信元のIPアドレスが秘匿されるようになる。その様子を実際にデモしてくれた。Geolocation Technologyのサービスである「IPひろば」に通常のブラウザーでアクセスすると、接続端末のIPアドレスが表示されるが、TorブラウザーだとスウェーデンのIPアドレスが表示された。

 匿名性の高いTorを使った犯罪も起きている。2012年のパソコン遠隔操作事件や、2015年の児童ポルノ投稿事件などが紹介された。どちらも、Torの接続から逮捕されなかった。パソコン遠隔操作事件はスマホを河川敷に埋めようとしたのが決め手になり、児童ポルノ投稿事件は販売代金をビットコインで受け取ったため、ブロックチェーンの追跡から足が付いたのだ。


Torノードは簡単に構築できる

ダークウェブの閲覧にはTorブラウザーを利用する。日本語版も用意されている


Chromeブラウザーでアクセスすると、e-mobile(EMOBILE)で接続していることが分かるが、Torブラウザーだとスウェーデンからアクセスしていることになっている

 続いて、Torブラウザーでダークウェブにアクセスしてくれた。ダークウェブには日本語のサイトは少ないのだが、その中からドラッグの売買情報が載せられているサイトが紹介された。隠語が使われているものの、見る人が見れば分かるそうである。警察の人に見せたところ、捜査員が「いい値段だね」と言われたという。

 海外のダークウェブでは、ショッピングサイトのような体裁で大麻が購入できるようになっていた。ダークウェブでの支払いは、ほとんどがビットコインだという。ちなみに、ダークウェブのURLはすべて、「.onion」となっている。URLをChromeブラウザーにコピーしても、アクセスできないのだ。



堂々とドラッグの取引情報が掲載されていた


WikiLeaksに密告するサイトも紹介された


大麻の売買サイト。支払いはビットコインで行う


仮想通貨の換金サイト

 NEMの流出事件についても触れられた。今年1月、コインチェック社から約580億円分のNEMが盗まれたが、ブロックチェーンを利用しているので、すべての取引を追うことができる。仁科氏は、NEMのブロックチェーンエクスプローラーから、コインチェック社のウォレットアドレスを開き、盗難が起きた1月26日の状況を表示してくれた。

 流出先のアドレスの取引も追うことができる。取引が進むと、取引される金額が小さくなってくるのが分かる。そのうちの1つに、ダークウェブのURLが記載されており、「XEM-15%OFF」と書かれていた。これをTorブラウザーで開くと、完売御礼の「Thank you!!!」というメッセージが表示された。



ブロックチェーンを使っているNEMの取引を追跡している


メッセージに記載されていたダークウェブサイトを開いたところ。すでに取引は終了していた

 TorネットワークにはGoogleはないので、リンクサイトやダークウェブの検索サイトなどを利用して、サイトを見つけていくしかない。仁科氏は、通常のブラウザーでもアクセスできるダークウェブ専門のリンクサイトから英語のダークウェブを調査しているという。

 「ダークウェブサイトのほとんどは登録制になっています。場合によってはCookieを有効にしなければならないこともありました。また、捜査機関のおとり捜査にも使われることがあると読んだこともあります。」(仁科氏)



仁科氏が情報源としているリンクサイトの1つ

 Geolocation Technologyでは、IPアドレスに紐付いた情報をデータベース化して、ビジネスを行っている。その一環で、TorノードのIPアドレスも収集しているという。まずは、Tor Projectが公開しているIPアドレスに加え、同社で構築したTorノードを経由したノードのIPアドレスも登録しているとのこと。

 「今、Tor判定のIPアドレスは1万7000あります。日々の調査で300~400くらいが変化しています。国ではドイツとアメリカの2カ国になります。私の推測になりますが、ダントツでドイツが多いのは、EUの中でも特に個人情報の縛りが厳しいためです。」(仁科氏)

 同社は、Tor経由のIPアドレス情報を「SURFPOINT」というサービスで提供している。Torを使うと元のIPアドレスを秘匿できるので、Torブラウザーでアクセスされると、なりすましされている可能性が高いと判別できる。

 「ブロックチェーンのリスク管理部会の議論の中で、KYC(Know Your Customer)とか、振る舞いの部分で活用できるデータだと思います。例えば、申し込みがTorから来たら、なんかおかしいねと判断できます。」(仁科氏)

 すでに同社のサービスは、ネットバンクやネット証券数社で利用されているという。ただし、仮想通貨の業界ではまだ事例がないとのことだった。

https://internet.watch.impress.co.jp/docs/event/1114825.html










関連記事