ダークウェブを早期警戒システムとして活用する
適切なツールとチームの存在があれば、ダークウェブを早期警戒システムとして活用できます。まるで炭鉱のカナリアのように、大きな被害が出る前に攻撃を検知します。
航空会社の経営幹部であるあなたが、珍しく穏やかな月曜日の朝に、淹れたてのコーヒーを片手にデスクに向かっているところを想像してみてください。気分はすっきりとリフレッシュされ、リラックスしながら今週に向けて準備が整っています。
受信トレイの確認をしていると、Slackの通知音「タッタッタッ」という聞き慣れた音が耳に入ります。
ウィンドウを開くと、それはセキュリティー・オペレーション・センター(SOC)のリードからのメッセージで、良い知らせではありません。「ダークウェブ上のデータブローカーが、当社の顧客記録の膨大なデータを販売すると宣伝しています」。
さあ、どうしますか。会社の幹部の緊急会議を招集しますか。警察に電話しますか。
まずはパニックになるかもしれません。会社のデータがダークウェブにある。これはかなりまずい事態です。
しかし、理想的には、何か行動する前に脅威インテリジェンスのアナリストにもう少し詳しく調査してもらうべきでしょう。
サイバー犯罪者は決して信用できる存在ではなく、彼らが売り込んでいるという記録も、実際には主張どおりのものではない可能性があるからです。実際にサイバー犯罪者が持っているのは、あなたの会社と緩やかにしか関連していない旅行サイトの第三者データかもしれません。もしかしたら、単に買い手を引きつけるために、誰もが知る貴社の名前を使っているだけかもしれません。
そうであれば顧客データは安全であり、大規模で高額な、そして公に向けた対応を取る必要はなく、何もする必要がないかもしれません。
この思考実験のポイントは、IBM X-Forceが対応した実際の事例を基にしたものですが、ダークウェブはその不気味な評判から想像されるほど特別なものではなく、ずっとありふれた存在だということです。
ありふれていて、理解可能なものです。
確かにダークウェブには多くの怪しげで明らかに悪質な活動が存在しますが、このインターネットの影の領域をめぐる評判が、人々の判断を曇らせることがあります。
ダークウェブ上の活動を冷静かつ合理的に継続的に監視することで、組織は誤った神話を排し、いわゆるハッカーの拠点で実際に何が起きているのかを正確に把握できます。
とはいえ、ダークウェブは扱いが難しい領域であることも事実です。実際、犯罪者同士が互いに感染させ合い、データや銀行口座へのアクセスや情報を得ようとすることさえあります。空虚な脅しと真のリスクを見極めるためには、資格を持つサイバーセキュリティーの専門家の支援を受けることが有効です。
Thinkニュースレター
あなたのチームは時間内に次のゼロデイを受け入れますか?
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
その不気味な名前や噂に惑わされる必要はもうありません。ダークウェブは、究極的にはインターネットの一部にすぎません。確かに、意図的に不可視化された領域ではあります。
大まかに言えば、インターネットには3つの層があるといえます。
- オープン・ウェブ:検索エンジンで見つけることができる、一般公開されているすべてのサイトを含みます。
- ディープ・ウェブ:検索エンジンがインデックスしない情報を含みます。ディープ・ウェブはオープン・ウェブよりもはるかに大きく、その大部分は無害です。オンラインの銀行口座や有料コンテンツなどは、すべてディープ・ウェブです。
- ダークウェブはディープ・ウェブの一部であり、アクセスするにはTorブラウザーなどの特別なブラウジングソフトウェアが必要です。
ダークウェブはどのようなものでしょうか。オープン・ウェブとそれほど違いはありません。人々はフォーラムに集まり、マーケットプレイスで物を売ります。大きな違いは、そこで議論されたり売買されたりしているものが、一定の匿名性を必要としている点です。
ダークウェブ上で行われることのすべてが悪意のあるものというわけではありません。例えばジャーナリストは、機密情報を入手し共有するためにダークウェブを利用することがあります。
しかし、確かにダークウェブの住人の多くはサイバー犯罪者です。彼らのフォーラムは、テレビ番組やニッチな趣味のためではなく、エクスプロイトの取引や新たなギャングメンバーの勧誘に特化しています。衣類やビデオゲームを売る代わりに、彼らはマルウェア、クレジットカード番号、盗まれた認証情報を販売しています。認証情報は実に数多く盗まれています。
X-Force脅威インテリジェンス・インデックスによると、有効アカウントの乗っ取りは最も一般的な初期データ侵害の経路の一つであり、サイバー攻撃の30%を占めています。
2024年第4四半期だけでも、X-Forceはダークウェブ上で120万件の認証情報が販売されているのを確認しており、1件あたりわずか14米ドルで取引されることもありました。他のハッカーはこれらの認証情報を購入し、なりすましや企業ネットワークへの侵入に利用します。
一部のサイバー犯罪者は「Software-as-a-Service(SaaS)」モデルをランサムウェアやその他の悪意あるソフトウェアに適用した「Malware-as-a-Service」を提供しています。これらの脅威アクターは独自のマルウェアをアフィリエイトに販売し、アフィリエイトはそのマルウェアを使って攻撃を仕掛け、不正に得た収益の一部を作成者と分け合います。
さらに、アクセス・ブローカーと呼ばれる者も存在します。彼らは標的システムへの足掛かりを得て、その侵入経路を他のサイバー犯罪者に販売し、好きなように利用させます。
データ、アクセス権、あるいはマルウェアを販売しているかどうかにかかわらず、これらのサイバー犯罪者は単独で活動するのではなく、通常はギャングとして組織化されています。しかし、これらのギャングを監視するのは困難です。なぜなら、こうした犯罪者集団は迅速に仲間を形成し、勢いをつけると、かなり早い段階で衰退する傾向があります。例えば、2025年第1四半期にダークウェブで最も活発に活動していたランサムウェア・ギャングの半数以上は、設立から1年以内のものでした。
ダークウェブにおける勢力図は常に変化しています。法執行機関がギャングを摘発します。追放されたアフィリエイトが分裂して独自の組織を立ち上げることもあります。時にはギャング間の競争が直接的な攻撃につながることもあります。その一例が今年2月で、敵対するギャングが悪名高いLockbitグループの最新バージョンのランサムウェアのコードを流出させました。
この急速な変化のスピードや、ギャングとマーケットプレイスの複雑な力学は、組織のためにダークウェブ上の取引を監視できる専任の脅威インテリジェンス・アナリストと連携することが有益である理由の一部にすぎません。このような混沌とした状況の中では、自社に対する現実の脅威を示す警告サインを見落としてしまいがちです。
私たちの多くは、出所不明の他人のSNS投稿を額面どおりに受け取らないことを理解しています。それにもかかわらず、サイバー犯罪者が証拠も示さずに機密データを持っていると主張すると、ついそれを信じてしまいがちです。
本来、そうすべきではありません。そしてここでも、専門の脅威インテリジェンス・アナリストが役立ちます。ダークウェブ上で事実と虚構を見分けることができるのです。
サイバー犯罪者は嘘をつくものです。嘘しかつかないと言ってもよいでしょう。彼らは日常的に、大手の主要組織から入手したと称するデータを持っていると主張しますが、実際にはそのようなデータを持っていません。なぜでしょうか。実際以上に実力があるように見せかけ、不当に「優れたハッカー」としての評判を築くためです。あるいは、実際に持っている魅力に欠けるデータを売り込もうとしているのかもしれません。
例えば、あるギャングが世界的な有名ブランドのデータを持っていると主張することがあります。潜在的な買い手が現れると、ギャングはそのデータはすでに売れてしまったが、代わりにあまり知られていない組織のデータを提供できると言います。これは本質的には、他のサイバー犯罪者を対象としたソーシャル・エンジニアリングの一種です。
一方で、サイバー犯罪者は自分たちが実際に保有しているデータを常に公然と宣伝するわけではありません。摘発を避けるために、被害者をぼかして表現することがよくあります。例えば「X社のデータを持っている」とは言わずに、「Y業界に属し、評価額Zの規模Xの企業のデータを持っている」と表現するのです。
組織に必要なのは、偽のリークと本物だが巧妙に偽装された脅威の両方を正確に見極められる高度な監視プログラムです。
ダークウェブ監視にリソースを投入することの真の価値は、単に思い込みを払拭し、サイバー犯罪者の嘘を見抜くことにあるのではありません。むしろ、適切なツールとチームを備えることで、組織はダークウェブを早期警戒システム、つまり大きな被害が発生する前に攻撃を検知する「炭鉱のカナリア」として活用できるのです。
つまり、もし組織のデータやネットワークの侵入口がダークウェブで販売されているのであれば、それはすでに侵害を受けていることを意味します。しかし、それが攻撃を検知できる最も早い段階である場合もあります。
これは特に現在に当てはまります。脅威アクターは、ユーザーアカウントの乗っ取りや、正規の権限を悪用する内部不正者と手を組むなど、ますます巧妙な攻撃手法を採用しているからです。実際に、ダークウェブ上には、自らを侵害した企業の従業員である、あるいは従業員と協力していると主張するアクセス・ブローカーが確認されています。
攻撃者はまた、いわゆる「迷惑」マルウェアのような小規模なものを利用して、ランサムウェアをインフォスティーラー経由で忍び込ませるなど、より大きなペイロードを運ぶ手口を取り始めています。ネットワーク内部に侵入すると、しばしば「Living off the Land(環境寄生)」と呼ばれる手法を用います。つまり、PowerShellスクリプトや実際のユーザーアカウントといった正規のネットワーク基盤を悪用し、ネットワーク内を移動して機密資産にアクセスします。
標準的なネットワーク・セキュリティー・ツールは、この活動を見逃すことが多いです。悪意のあるものには見えず、認可されたユーザーやシステムが認可された操作を行っているように見えるためです。
そのため、データがダークウェブに出回って初めて、何か異常が起きていると気付く場合もあります。データが出現した時点でそれを捕捉することで、組織は素早く対応し、影響を最小限に抑えることができます。侵害されたアカウントの認証情報を変更したり、既知のバックドアを持つサーバーを停止したりすることができます。データ・ダンプは無価値となり、攻撃の全容が現れることはありません。
このレベルの監視を実現するには、脅威インテリジェンス・フィードをいくつか購入したり、セルフサービス・プラットフォームを導入したりするだけでは不十分です。膨大なデータをどう扱うか、サイバー犯罪者が意図的に隠している脅威をどう見つけるかを理解している専任のアナリストが必要です。これらのアナリストは、検出結果を解釈し、文脈を付加し、真のリスクを優先順位付けし、組織を効果的な対応へと導くことができます。