2019/01/08

ダークウェブを調査する

darkweb
2019 年 1 月 8 日 Emil Hozan 著

調査のきっかけと準備

「ダークウェブ」という言葉がよく使われるようになり、一般の人々にも知られるようになったことから、その実態を調べてみることにしました。しかしながら、調査を始めるにあたり、先ず初めに、インターネットの「ダークウェブ」と呼ばれる部分に安全にアクセスする方法を理解しようと考えました。ダークウェブの入門記事はたくさん見つかりましたが、ほとんどが Tor(ダークウェブの詳しい調査に使われるソフトウェアバンドル)のインストールや実行について説明されているだけで、肝心な説明が欠落しているようでした。

Tor をセットアップするためのインストールのプロセスについては、Tor の公式文書を参照するか、オンライン検索、あるいは下記の参考リンクを参照してください。Tor の調査を開始するにあたり、以下の方法で環境を準備しました。

  • ダークウェブにアクセスするための専用の仮想マシン(VM)を作成した
  • VM とホストコンピュータの間のいくつかの機能(たとえばカメラ)を無効にした
  • Tor ブラウザバンドルをダウンロードしてインストールし、実行した
  • Tor の URL バーに「about:config」と入力してフラグを「false」に設定することで、JavaScript を無効にした

ダークウェブ、ディープウェブ、サーフェスウェブの違いを理解する

「ダークウェブ」と「ディープウェブ」が具体的に何を指すのかについては、曖昧な点があるようですが、質問する相手によって答えは異なるため、これが正解と言える答えはありません。我々が「インターネット」と呼んでいる標準バージョン(「サーフェスウェブ」とも呼ばれます)のウェブを含め、次のような用語が使われています。

  • サーフェスウェブ
    これが、我々が通常「Google 検索する」と言う場合のアプローチであり、実行後に、入力した問い合わせに対する検索結果が表示されます。返された結果は索引付けされており(ここでのキーワードは「索引付け」です)、索引によってそれぞれのカテゴリが区別されます。この例としては、Facebook のログインページや Secplicity ブログ記事、あるいは有名な猫のビデオの検索などがあります。
  • ディープウェブ
    インターネット上には、条件付きでアクセスできる、ウェブクローラに直接提示されないリソース、ウェブページ、あるいはオブジェクトが数多く存在し、このような情報が検索結果としてユーザに返されることはありません。これらのページは、ウェブクローラによって索引付けされることはなく、「ディープウェブ」の一部と見なされるものです。この例としては、個人の銀行口座や機密データを処理するそれ以外の機関へのログイン、個人の Facebook へのログインなどがあり、これらのページは、ログインしたユーザごとにカスタマイズされています。
  • ダークウェブ
    これこそがこの記事の本題であり、ダークウェブと聞くと、多くの人が闇市場での取引やインターネットの「地下」社会を思い浮かべますが、そのような見方が完全に正しい訳ではありません。ダークウェブが犯罪だけの場ということではなく、内部告発者、ジャーナリスト、さらには厳しい弾圧を受けている人たちが、身元を隠して連絡を取り合う手段として利用する場合もあります。Tor のプラス面の詳細については、こちらを参照してください。Tor ネットワークのこのようなサイトの例としては、TLD が「onion」の、そのサービスの公開鍵のハッシュから派生したサイトがあり、そのようなサイトには、正確な URL を知らなければアクセスできません。Wikipedia のこのリンクでそのプロセスが詳しく解説されていますが、その方法によって、一定の匿名性が保証されます。このような URL の例がこちらのリンクに記載されていますが、ここでは 2 つの例として、http://zqktlwi4fecvo6ri.onion/wiki/index.php/Main_Page と http://3g2upl4pq6kufc4m.onion/ を挙げておきます。

Tor ネットワークの仕組み

Tor ブラウザを我々が入手し、検索できるのは、前提として、多くの作業がバックグラウンドで実行されているためです。Tom’s Guide のこの記事に、Tor の仕組みと、Tor ネットワークを支えている数多くのボランティアの努力に関する興味深い情報が紹介されています。Tor トラフィックの仕組みについては、このフォーラムの「Jasper, I’m a geek」というユーザによる最初の回答も大いに参考になるでしょう。

一言で言えば、世界中のボランティアが用意する中継点を Tor トラフィックが通ることで、ユーザの本当の IP アドレスが隠され、前の中継点とパケットの転送先である次の中継点を知るための情報以外が元のパケットから削除されます。このネットワークトラバーサルのことを「Tor ネットワーク」と呼んでおり、それぞれの中継点は、前のホップと次のホップだけを知っていますが、完全パスを知りません。

ただし、いくつかの問題点もあり、たとえば、検索の実際の終着点で、HTTPS サイトでは暗号化が拡張されるものの、標準の HTTP サイトでは拡張されないという問題があります。もう 1 つの潜在的な問題が、Tor ネットワークの「出口ノード」と呼ばれるもので、これは、上記の実際の宛先クエリに対して最終的な要求を行う中継点です。理論的には、悪意ある個人が出口ノードであると、ユーザの身元を知られてしまう可能性があります。

調査の詳細

私が調査で利用したテストベッドへと話を戻すことにします。前述の手順に従って Tor ブラウザをインストールし、DuckDuckGo が検索エンジンとして表示されるようになりました。調査のプロセスを以下に紹介します。

ダークウェブだけで入手できるハッキングサービスやその他の悪意あるオプションを探すための検索クエリをいくつか入力し、Google や Safari などの通常のブラウザでアクセスできる標準ウェブサイトを検索してみました。返された検索結果に違いはないようでしたが、さらに色々試してみたところ、TLD「onion」が見つかりました。サーフェスウェブと同様の方法で検索エンジンを使っても、「onion」サイトを検索することはできません。静的にメンテナンスされている Wiki に似たページがあり、金融サービス、ハッカーサービスなどに分類されて、これら URL が登録されています。

検索で多くの場合に表示された Wiki はこの URL ですが、これ以外の URL も存在することがわかりました。いずれも手動でメンテナンスされており、無効になっているリンクもありましたが、停止と復活を繰り返すサイトも多いので何回か繰り返しチェックするようにという注記されているものもありました。

まとめと考察

ダークウェブに関する上記の調査は、調査を唯一の目的で私自身が実施したものです。もちろん、皆さんも同様の調査を行うことができますが、十分に注意する必要があります。ダークウェブはもちろん、インターネットであっても、誰も信用することはできません。一般公開されている Tor バンドルを使用する際に、絶対にコンテンツをダウンロードして開かないようにしてください。コンテンツによっては、特別に作成されたスクリプトが埋め込まれていて、皆さんの本当の場所が公開されてしまう可能性があります。

私は皆さんに対し、この記事でご紹介しているリンクをたどって違法な行為に参加するよう勧めているわけでも、奨励しているわけでもありません。

最後に、Marc Laliberte がホストを務める 443 Podcast では、Corey Nachreiner をゲストに招いて、ダークウェブの詳細と関連ニュースを解説しています。このリンクからアクセスして、ご視聴ください。

参考資料

Guccione, D. 著(2018 年 1 月 19 日)、「What is the dark web? How to access it and what you’ll find.」、
出典:https://www.csoonline.com/article/3249765/data-breach/what-is-the-dark-web-how-to-access-it-and-what-youll-find.html
Lacoma, T. 著(2018 年 4 月 24 日)、「How to access the Dark Web」、
出典:https://www.digitaltrends.com/computing/how-to-access-the-dark-web/
Scharr, J. 著(2013 年 10 月 23 日)、「What Is Tor? Answers to Frequently Asked Questions.」、
出典:https://www.tomsguide.com/us/what-is-tor-faq,news-17754.html

スパムメール対策機能強化のためのエンジン移行について(2021/4/1)