ダークウェブ監視を「いつでも」「自分で」「何度でも」できたら便利じゃないですか?
ダークウェブとは
ダークウェブは、その名前が与える印象から元々アンダーグラウンドな空間であるかのように受け取られがちです。
しかし、ダークウェブの生い立ちを紐解くと、インターネット上での活動に対する政治的干渉から逃れるために作られた通信方式であることが分かります。
インターネット上での政治的干渉の代表的なものは通信傍受が挙げられます。そして、通信ののぞき見を防止する技術にTLSやSSLといった通信の暗号化技術があります。TLSやSSLによる通信の暗号化は1回のみです。これに対して、複数のサーバーを経由してその都度通信の暗号化を行い、多重暗号化を行うことで通信傍受に対する耐性を高めた通信方式がTor(The Onion Routing)です。暗号化を多層にほどこす様が、何層にも重なる玉ねぎの皮を思わせることからOnionという名前を与えられたものです。
この通信傍受に対する耐性が匿名性を高めることから、アンダーグラウンドな活動に広く用いられることとなり、現在のような状況を作り出しました。
ダークウェブが企業に与える脅威
ダークウェブ上では、違法な薬物や銃器の販売が行われているといわれています。確かに、このような取引が行われていることは事実です。とはいえ、そのような事実は、ダークウェブが怖い場所であると印象付けるための方便であり、普通の企業にとって脅威となることはあまり考えられません。
企業にとって脅威となるのは、次のふたつです。
- 初期アクセス販売
- 機密情報のリーク
ダークウェブには、不正アクセスが可能なサーバーや個人に関する権限情報を販売する初期アクセスブローカーと呼ばれる者がいます。初期アクセスブローカーは、不正アクセスが可能なサーバー等を探し、その情報をダークウェブ内のマーケットに売りに出します。単に不正アクセスが可能となるIDとパスワードの組合せを売るだけでなく、ウィルス対策ソフトの無効化や各種のツールをインストールするといった、グルーミングといわれる仕込みを行う場合もあります。そのため、「うちはウィルス対策ソフトを入れているから大丈夫」と思っていたのに、いつの間にかそれを無効化され丸裸の状態になっているということもあります。
初期アクセスが売買されると、それを買った者がランサムウェア等の破壊的な攻撃を行ってきます。ダークウェブのマーケットに権限情報が売りに出されてから実際の攻撃が行われるまでの期間は、平均1か月以内であるとする調査結果が報告されています。ランサムウェア攻撃者の多くは初期アクセスブローカーから権限情報を購入していると考えられていることから、自社に関する権限情報が売りに出された情報を早期に把握すれば、パスワード変更等のセキュリティ対策を施すことでランサムウェア被害を未然に防止することが可能となります。
次に、機密情報リークですが、これはランサムウェア攻撃を受けた結果として攻撃者により行われる場合が最も多いケースとなります。機密情報がリークされた企業は、次のような事態に見舞われることとなり、有形/無形の損害や損失を被ります。
- 個人情報保護委員会等への報告/届出
- 業務の停止
- 信用失墜
- 株価下落
- 取引先への謝罪/賠償
- 情報流出した個人への謝罪/賠償
- 事案によってはコールセンターの設置
- 報道対応
さらに企業にとって不運なのは、一度ダークウェブに流出してしまった情報は消すことができないということです。自社の機密情報がリークされていることを把握したとしても消すことができないのであれば、ダークウェブの監視など無意味と感じることも納得できます。ですが、機密情報の流出を早期に把握することができれば、取引先からの通報や通知で機密情報の流出を初めて知るという恥ずかしい事態を避けることもできます。また、情報流出を早い段階で把握して、これに手を打つことができればボヤで鎮火することが可能となります。意図したか否かに関わらず情報流出を放置すると、ボヤで済んだものが大火事に発展することもあります。
サイバーセキュリティデューデリジェンスへの対応
「デューデリジェンス」(以下「DD」と略します。)とは、投資家が投資を行う際、もしくは金融機関が引受業務を行う際に、投資対象のリスクリターンを適正に把握するために事前に行う、一連の調査のこと(野村證券株式会社「証券用語解説集」から引用)です。
DDは、主にM&Aの場面で行われることが多いものですが、サプライチェーンを構成する企業のリスク評価として行われる場合もあります。これをITやサイバー分野に対して行うものが「サイバーセキュリティDD」です。
サイバーセキュリティDDの定義やそこで調査される項目に一般的なものはなく、各社様々な理解がなされています。調査対象の一例として、KPMG FASでは以下のようなものを挙げています。
- ダークウェブにおける対象企業関連情報の交換/売買
- ペーストビンへの対象企業関連情報の流出
- 対象企業のネットワーク構成情報の外部からの把握
- 対象企業の従業員のユーザーIDおよびパスワードの漏洩
- 対象企業のITシステム関連情報の外部からの把握しやすさ
- 対象企業が公開している電子ファイルの「メタデータ」での悪用可能な情報の残存
- 対象企業のベンダーのネットワーク構成情報の外部からの把握しやすさ
- 類似ドメインの存在
- 対象企業の役員の個人情報等のインターネット上での公開
(KPMG FAS「サイバーセキュリティデューデリジェンス <基本の調査対象>」から引用)
これらの項目について、企業は可能な限り把握していることが望まれます。日本国内では、サイバーセキュリティDDはまだあまり普及していませんが海外では広く行わるようになっており、外国企業との取引がある企業では考慮する必要があります。
ダークウェブ調査のリスク
自社のリスクを把握するためダークウェブにアクセスして情報を調査監視しようとすると次のようなリスクに面することとなります。
- 特定の企業がアクセスした事実を知られる
- アクセス先でのマルウェア感染
- アクセスしたことによる情報流出
これらのリスクが生ずることから、ダークウェブ上の情報を企業が自ら調査監視することは望ましくありません。また、ダークウェブには招待制のフォーラムやマーケットが存在しており、初期アクセスや企業に関する機微な情報はそのような非公開エリアで行われています。そして、そこにアクセスするためには管理者らにコンタクトしたうえ、手数料を支払う必要があり、上に示したようなリスクが非常に高くなるほか、企業のコンプライアンスからも問題となる懸念があります。そのため、ダークウェブ上の情報を調査監視しようとする場合は、専門の調査会社に委託することが一般的です。
「いつでも」「自分で」「何度でも」確認できるダークウェブ監視
上に示したようなリスクを避けつつ、ダークウェブの調査監視を行えるサービスが弊社の「UGINT-総合モニタリング」です。
総合モニタリングは、ご契約いただいた企業様専用のプラットフォームをご用意いたします。お客様は、このプラットフォームにWeb経由でアクセスすることができ、いつでも、回数の制限なく自社の情報を確認することができます。また、あらかじめ通知用のメールアドレスを設定すれば、新規の情報が検出されたときは指定されたメールアドレス宛にアラートを飛ばすことも可能です。
お客様にご提供するプラットフォームは、世界各国の軍隊や情報機関に提供されているものと同じソースを使用しています。総合モニタリングを使うことで、お客様は国家機関レベルの深い情報にアクセスすることが可能となります。
総合モニタリングは、ダークウェブの情報をただ調査監視するだけではありません。企業が保有するサイバー攻撃の侵入経路となり得るインターネット上のIT資産(アタックサーフェス)の脆弱性も常時監視を行います。アタックサーフェスの監視は、サイバーセキュリティデューデリジェンスの項に掲げた調査項目の「3」「5」「7」に該当します。つまり、総合モニタリングを利用するだけでサイバーセキュリティデューデリジェンスでの調査項目がほぼすべてカバーできてしまいます。
総合モニタリングに関するご質問/お問合せは、合同会社デジタル鑑識研究所までお寄せください。