「最近よく聞くダークウェブってどのようなWebサイトなの?」
「ダークウェブに対して組織はどのような対策を実施すべき?」
ダークウェブは通常の手段ではアクセスできないWebサイトのことで、違法性のある物品や情報が多数取引されています。組織の機密情報や個人情報、サイバー攻撃の手法やマルウェアなども取引されており、組織にとって無視できない存在となりつつあります。
そこで本記事では、以下の内容について解説します。
- ダークウェブの概要
- ダークウェブで取引される物品・情報
- ダークウェブのリスク
- ダークウェブに対する組織の対策
本記事を読むことで、組織の情報資産をより適切に管理するためのポイントが分かるでしょう。ダークウェブのリスクを知りたい方や、組織のセキュリティに不安がある方は、ぜひご一読ください。
リスク対策の一つとしてダークウェブに着目されている組織の方、必見!
ダークウェブに対して組織はどのような対策を実施すべき?
ダークウェブでは、未公開の脆弱性情報など、非合法な情報が取り扱われています。人材のセキュリティ教育やシステムのアップデートなど、組織全体のセキュリティの底上げが必要です。脅威を総合的に捉え、必要なセキュリティ対策を検討するための資料をご用意しておりますので、ぜひこちらもご覧ください。
ダークウェブとは
ダークウェブとは、通常の方法ではアクセスできず、特別なツールを要するWebサイトの総称です。その匿名性の高さから、違法な物品や情報の売買が行われています。
ここでは、ダークウェブが誕生した背景や、ダークウェブと対比されるサーフェイスウェブ、ディープウェブとの違いについて解説します。
ダークウェブが誕生した背景
ダークウェブはもともと、情報通信の秘匿性を確保するために米国海軍によって開発された「オニオン・ルーティング」という技術に由来します。何層にもわたるレイヤー構造によって情報を隠すことで高い匿名性を実現していました。
オニオン・ルーティングはその後、Tor(The Onion Router)と呼ばれ、非営利団体のプロジェクトとして受け継がれています。Torは高い匿名性を確保できることから、Webサイトの閲覧に制限がある国々で利用され、2000年以降は日本国内でも広く知られるようになりました。
日本でTorが知られるきっかけの一つは、2012年に発生した「パソコン遠隔操作事件」です。そのほか、2018年に発生した「仮想通貨NEM」流出事件でも、不正に暗号通貨を入手した手段として報道されました。
サーフェイスウェブとは
サーフェイスウェブとは、一般的に私たちがアクセスしているWebサイト全般のことを指します。GoogleやYahoo!などの検索エンジンの検索結果に表示されるWebサイトがサーフェイスウェブに該当します。
ディープウェブとは
ディープウェブは、Google ChromeやMicrosoft Edgeなどの一般的なWebブラウザで閲覧はできますが、サーフェイスウェブと違い、検索エンジンでは検索できないWebサイト全般のことを指します。そのため、特定のリンクやログイン情報を知っている人など、限られた人にしかアクセスできません。
サーフェイスウェブ・ディープウェブ・ダークウェブの関係は、その特徴からよく氷山に例えられています。
ダークウェブで取引される物品・情報
ダークウェブはその匿名性の高さから、違法性の高い物品や情報が取引されています。ここでは、ダークウェブで取引されている物品や情報の一部をご紹介します。
- 違法性のある物品
- Webサイトへのログイン情報
- 組織情報
- 脆弱性情報
- マルウェアおよび作成ツール
違法性のある物品
ダークウェブでは、違法性のある物品の取引が行われています。違法な薬物や銃器、偽造書類など、所持や売買が禁じられているものが売買されており、犯罪を助長しています。
Webサイトへのログイン情報
会員制のWebサイトの多くは、ログインIDとパスワードの組み合わせによってログイン時の認証を行っています。ダークウェブでは、ログインIDとパスワードの組み合わせがリストとなって取引されており、不正なログインやパスワードリスト攻撃などに悪用されています。
組織情報
組織が所有する機密情報やアカウント情報なども取引されています。漏えいした情報の拡散による金銭的な損失や社会的信用の失墜はもちろん、フィッシング攻撃への悪用など二次被害を引き起こすリスクもあります。
脆弱性情報
ソフトウェアやシステムの脆弱性情報も取引され、ゼロデイ攻撃などに悪用されています。ゼロデイ攻撃とは、まだ対策が提供されていない脆弱性を悪用して攻撃を仕掛けるサイバー攻撃のことで、脆弱性の修正プログラムが提供されるまでは無防備な状態が続くため、被害にあう組織が後を絶ちません。
マルウェアおよび作成ツール
マルウェアやその作成ツールが取引されることもあります。本来、マルウェアの作成や使用には高度なITスキルが求められますが、ダークウェブから入手することで比較的容易に攻撃が仕掛けられるようになり、犯罪の助長につながっています。
IPA(独立行政法人情報処理推進機構)が毎年公表している「情報セキュリティ10大脅威 2024」では、「ランサムウェアによる被害」が4年連続で1位となっていますが、被害が拡大した要因の一つにRaaS(ランサムウェアや攻撃手法をサービスとして提供する仕組み)の存在があげられ、こちらも主にダークウェブ上で取引が行われています。
▼関連記事
ランサムウェアとは|主な感染経路や対処法・予防策を解説
なお、情報セキュリティ10大脅威にランクインした複数の脅威に対して、同時かつ効率的に行える「共通対策」を一つの資料にまとめています。いま必要な情報セキュリティ対策の基本が分かる資料ですので、ぜひダウンロードしてください。
組織が注意すべきダークウェブのリスク
組織が注意すべきダークウェブのリスクについて解説します。ダークウェブへの情報漏えいや、ダークウェブを利用したサイバー攻撃など、組織が危険にさらされるリスクについて把握しておきましょう。
- 法的リスク
- 情報漏えい
- マルウェア感染
法的リスク
ダークウェブへアクセスすること自体は違法ではありませんが、取引されている脆弱性情報や盗まれた認証情報などを購入したり、使用したりすることはもちろん違法となります。違法性の高い情報が取引されているダークウェブに興味本位でアクセスすることは、犯罪に巻き込まれるリスクもあり、非常に危険です。
情報漏えい
ダークウェブに組織の情報や顧客の情報が漏れてしまうと、大きな損害が発生する恐れがあります。機密情報はもちろん、組織で運用しているWebサイトのログイン情報や顧客の個人情報などが漏えいしてしまうと、経済的な損失や社会的信頼の喪失につながります。
「国内100大企業、 Darkweb への情報流出調査結果」(株式会社Aegis Tech)によると、実際に、国内の大企業100社の情報がダークウェブに流出していることが確認されています。アカウント情報や社内文書の漏えいが多数報告されるなど、ダークウェブへの情報漏えいは決して珍しい事件ではなくなりつつあります。
マルウェア感染
ダークウェブ上に存在するツールや情報のダウンロードによって、端末がマルウェアに感染するリスクがあります。サーフェイスウェブに比べて危険な情報が多く散在しているため、注意が必要です。組織内の端末が感染すると、外部への攻撃の踏み台にされたり、システム停止や情報漏えいに発展する恐れがあります。
ダークウェブの被害にあわないための対策
ダークウェブの被害にあわないための有効な対策は、以下の4つです。
- 従業員へのセキュリティ教育
- セキュリティソフトの導入
- ソフトウェア・製品のアップデート
- 脆弱性診断の実施
1. 従業員へのセキュリティ教育
どれだけ厳重なセキュリティ対策を施していても、従業員による不用意な行動が大きな事故につながってしまいます。ダークウェブへのアクセスを禁止にするルールを設け、なぜ禁止なのか、起こり得るリスクと共に理由を落とし込むことが大切です。
また、従業員へのセキュリティ教育は、ダークウェブのリスクのみならず、組織全体のセキュリティを強化するためにも有効な施策の一つです。よくある事故事例を具体的に示し、巧妙な手口に引っかかってしまうリスクを低減することが大切です。また、万が一感染してしまった際の対処法を提示することで、被害を最小限に抑えましょう。
2. セキュリティソフトの導入
組織内の端末にはセキュリティソフトを導入しましょう。セキュリティソフトの導入によって、マルウェアの侵入やサイバー攻撃の検知・防止といった効果が期待できます。
最近では、ダークウェブへの情報漏えいを監視するセキュリティサービスも展開されています。事前に登録した情報がダークウェブに漏えいした際に、アラートを発してくれるサービスで、漏えいが発覚した場所の検知や、漏えい後の対応についてもサポートしてもらえます。
3. ソフトウェア・製品のアップデート
組織で使用している各機器のOS・ソフトウェアを最新状態に保つ仕組みを整えましょう。アップデートせずに古いバージョンのまま使い続けていると、脆弱性を悪用した攻撃の被害にあう恐れがあります。
ダークウェブでは、脆弱性情報や脆弱性を悪用した攻撃手法についての情報が売買されているため、攻撃が量産され、素早いスピードで行われています。組織で使用している各機器のOS・ソフトウェアは厳重に管理し、従業員が勝手にソフトウェアをインストールするといったことがないよう、ルールを具体的に設けましょう。
4. 脆弱性診断の実施
ダークウェブをきっかけとして引き起こされるさまざまな攻撃から身を守るには、組織内に存在する脆弱性をできる限り減らしておくことが大切です。脆弱性は、OSやソフトウェアだけでなく、Webアプリケーションなどにも存在します。
それぞれの対象に応じて定期的に脆弱性診断を実施することで、潜在する脆弱性を発見・対処しておくことが、攻撃を受けないための防御策となります。
▼関連記事
脆弱性診断(セキュリティ診断)とは|必要性からやり方まで、すべて解説
脆弱性診断ツール(サービス)|有料・無料の違いと5つの選定ポイント
まとめ|ダークウェブのリスクに対抗するにはセキュリティ教育と基本的な対策がカギ
ダークウェブのリスクは、組織にとって無視できない存在になりつつあります。違法性の高い物品や情報がやり取りされるダークウェブでは、組織の機密情報や個人情報の漏えいも確認されており、厳重な対策を実施しなければ大きな被害につながる可能性も否定できません。
ダークウェブの被害にあわないための有効な対策は、以下の4つです。
- 従業員へのセキュリティ教育
- セキュリティソフトの導入
- ソフトウェア・製品のアップデート
- 脆弱性診断の実施
従業員へのセキュリティ教育、セキュリティソフトの導入や各機器のOS・ソフトウェアのアップデートなど、基本的なセキュリティ対策は必須です。それに加え、脆弱性診断を導入すればダークウェブの被害にあうリスクを大幅に低減することができます。
ダークウェブの被害にあわないために、対策を実施してセキュリティを強化しましょう。