あなたのチームは時間内に次のゼロデイを受け入れますか?
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
ダークウェブとは、「ダークネット」と呼ばれるプライバシー重視のネットワーク上に存在するウェブの一部です。通常の検索エンジンやWebブラウザーからは見えず、アクセスするには特別なツールと設定が必要です。ダークウェブは盗まれたデータの取引などの犯罪行為で知られていますが、正当な用途も存在します。
ダークウェブには、Webページ、メッセージング・チャネル、ファイル共有ネットワーク、および通常の(「オープン」な)Webに似たその他のサービスがあります。その違いは、ダークウェブのコンテンツはダークネット、つまり特定のアクセス要件を持つインターネットの匿名サブセクションに存在することです。一部のダークネットは招待制です。その他には、適切なネットワーク設定またはTorブラウザーなどのソフトウェアを使用してアクセスできます。
匿名性はダークウェブの主な魅力です。ダークウェブ・ネットワークは、多層暗号化や間接ルーティングなどの手法を利用してユーザーの身元を隠します。ダーク・ウェブサイトにアクセスしている人と、それをホストしている人のどちらも簡単には特定できません。
サイバー犯罪者はこの匿名性を利用して違法行為を隠蔽します。ジャーナリスト、内部告発者、一般的なインターネット・ユーザーは、官公庁・自治体、大企業、広告ネットワーク、予測アルゴリズム、その他の詮索的行為による追跡を避けてダークウェブを利用できます。
サイバーセキュリティー専門家も、脅威インテリジェンスの重要な情報源としてダークウェブを監視しています。彼らはハッカーの動向を把握し、サイバー攻撃のターゲットやテクニックについて常に最新情報を入手し、新しいデータ侵害や進行中のデータ侵害を追跡することができます。
違法行為や違法コンテンツと関連しているにもかかわらず、ダークウェブへのアクセスだけでは、多くの管轄区域で必ずしも違法ではありません。
ダークネットとは、ダークウェブ・コンテンツへのアクセスを可能にするネットワーク・インフラストラクチャーであり、相互接続されたコンピューターやその他のデバイスです。
「ダークネット」と「ダークウェブ」という用語は、インターネット」と「ウェブ」が同じ意味で使われるように、しばしば同義語として使われます。しかし厳密には、インターネットは接続されたデバイスのネットワークであり、ウェブは人々がインターネットを通じてアクセスできる情報の層(ウェブサイト、アプリ、その他のサービス)です。
ダークネットとダークウェブにも同じ違いがあります。ダークネットはインフラストラクチャーであり、ダークウェブはそのインフラストラクチャーを通じてアクセスできるコンテンツです。
ダークネットにはさまざまなものがあり、Torネットワークが最も有名です。(詳細は「Torとは」を参照)その他のダークネットには、不可視インターネット・プロジェクト(I2P)やHyphanetがあります。
ほとんどのダークネットはオーバーレイ・ネットワークであり、より大きなネットワーク内に存在する個別のサブネットワークです。この「より大きなネットワーク」とは、通常インターネットそのものです。
しかし、ダークネットは公共のインターネットから遮断されており、ユーザーはGoogle Chrome、Mozilla Firefox、Microsoft Edgeなどの通常のブラウザから簡単にアクセスすることはできません。ユーザーがダークネットを利用するには、特別なソフトウェアや権限、設定が必要です。
Torなどの多くのダークネットはボランティアや非営利団体によって運営されており、人々は自分の端末を任意で寄付してネットワーク・ノードとして機能させています。その他には、分散型ピアツーピア・ネットワークや招待制のプライベート・ネットワークがあります。
ダークネットが、より広範なインターネットや他のオーバーレイ・ネットワークと異なる点がもう1つあります。ダークネットは多層暗号化、オニオン・ルーティングなどの方法でユーザーの身元を意図的に隠します。
Torは「The Onion Router」の略で、ネットワーク、ブラウザ、組織を指す場合があります。
Torネットワークは特定のダークネットを指し、ボランティアが運営する数千のノード上で稼働しています。Torネットワーク上のウェブサイトは「hidden services」または「onion services」と呼ばれ、.onionドメインを使用します。
Torブラウザは、Torネットワーク上のコンテンツにアクセスできる、プライバシーを保護するWebブラウザです。Torブラウザは、ユーザーの匿名性を強化した状態で、通常のWebコンテンツにもアクセスできます。
Torプロジェクトは、Torネットワーク、Torブラウザ、その他の関連ツールやインフラストラクチャーの開発を行い、維持を支援する非営利組織です。
Torブラウザはおそらく最も人気のあるダークウェブ・ブラウザですが、ダークウェブにアクセスする唯一の方法ではありません。また、ダークウェブのコンテンツ向けのネットワークはTorネットワークだけではありません。Torとダークウェブは同じものとして解釈されることがありますが、Torは数あるダークネットの中の1つです。
とはいえ、Torの仕組みを理解することは、一般的なダークウェブの仕組みを明らかにする上で役立ちます。
Torネットワークの核となる原理はオニオン・ルーティングです。これによりTorはIPアドレスを隠し、ユーザーの匿名性を保ちます。1990年代に米国海軍調査研究所によって初めて開発されたオニオン・ルーティングは、トラフィックに複数の暗号化を適用します。これらの層が、この技術が「オニオン」と呼ばれる由来です。
オニオン・ルーティングでは、ユーザーを宛先に直接ルーティングするのではなく、まず一連の中間ノードを経由します。各ノードはトラフィックの暗号化の単一層のみを復号化できるため、トラフィックの経路を最初から最後まで把握する個々のノードは存在しません。
ダークネット・サイトの運営者でさえ、訪問者がどこから来ているのかを知らず、訪問者もサイトがどこでホストされているのか知りません。
ウェブはダークウェブ、ディープウェブ、サーフェスウェブの3つの領域に分けられます。サーフェスウェブは、ユーザーがどの検索エンジンでも見つけることができる領域です。ディープウェブは検索エンジンには見えませんが、そのほとんどは適切な認証があればどのブラウザからでもアクセスできます。ダークウェブ・コンテンツには専用のツールや設定が必要です。
サーフェスウェブとは
オープン・ウェブとも呼ばれるサーフェスウェブは、GoogleやBingなどの通常の検索エンジンによってインデックス化されるインターネットの一部です。ソーシャル・メディア・サイト、YouTube動画、公開ブログ、Amazonの商品など:これらはすべて、サーフェス・ウェブ・コンテンツの例です。
サーフェスウェブはウェブの最も小さな領域の1つで、インターネット上のコンテンツのおよそ5%を占めています。
ディープウェブとは
ディープウェブは、検索エンジンがインデックスしないインターネットの部分であり、大半のウェブ・コンテンツが含まれます。ディープウェブにはダークウェブも含まれますが、ディープウェブの大部分(パスワードで保護されたWebサイト、有料のニュース記事、非公開データベース)は、デフォルト設定がされている通常のWebブラウザからアクセスできます。
ダークウェブはディープ・ウェブの一部ですが、重要な点で異なります。
ダークウェブは、ダークネット上に存在するディープ・ウェブの一部です。そのため、ダークウェブ・ブラウザー、適切に設定されたプロキシ、またはその他の手段を通じてのみアクセスできます。ほとんどのディープウェブ・コンテンツには、適切な認証情報があれば、オープン・インターネットからアクセスできます。ダークウェブはユーザーを意図的に匿名化しますが、ディープウェブはそうではありません。
ダークウェブはオープンウェブに非常によく似ており、ディスカッション・フォーラム、ニュースサイト、マーケットプレイスなどが存在します。Facebookのような一部のサーフェスサイトには公式のダークウェブ版もあります。
ダーク・ウェブサイトはオープン・ウェブサイトに比べて機能が少ないことが多く、これはダークネットのパフォーマンスが信頼性が低い傾向があることが関係しています。オニオン・ルーティングなどの技術により匿名性は維持されますが、接続が遅くなるという代償を伴います。
IBMのX-Force Threat Intelligenceシニア・アナリストであるRobert Gatesは、「ダークウェブは、混沌とした代替的ウェブ・エコシステムと考えることができます」と言います。「これは、インターネット上で一般的に見られる電子商取引サイトの簡略版で、製品ページ、ベンダー、フィードバックが含まれます。エスクロー・サービスや評価システムもありますが、こうしたシステムはしばしば販売者によって操作されています。」
ダーク・ウェブサイトには通常、長くて複雑なURLがあり、覚えておくのが困難な場合があります。ダークウェブをナビゲートするために、ユーザーは通常、ダークウェブの検索エンジンやHidden Wikiなどのリンク・リストを利用します。
一般的なダーク・ウェブサイトには次のようなものがあります。
1. マーケットプレイス
ダークウェブのマーケットプレイスではさまざまなものが売られています。
マルウェア:インフォスティーラー、ローダー、トロイの木馬、ランサムウェアなど。多くのサイバー犯罪者は、マルウェア・アズ・ア・サービス(MaaS)の製品を利用しています。MaaSギャングは、マルウェア・ツールやインフラを開発・管理し、「アフィリエイト」と呼ばれる他のハッカーに販売します。アフィリエイトはマルウェアを使って被害者を攻撃し、多くの場合、その攻撃で得た利益をMaaSギャングと分け合います。ランサムウェア・アズ・ア・サービス(RaaS)はとりわけ人気があります。
アクセス:アクセス・ブローカーは、通常、脆弱性をエクスプロイトしてバック・ドアを仕掛けることでネットワークに侵入し、これらのアクセス ポイントを他のサイバー犯罪者に販売します。
データ:盗まれた銀行口座、クレジット・カード情報、ログイン認証情報、および犯罪者が個人情報の盗難に使用できるその他の機密情報など。
違法な物品:偽造文書や違法薬物など。
ほとんどのダークウェブ・マーケットプレイスの取引では、買い手と売り手の匿名性を保つためにビットコインなどの暗号通貨を使用しています。
2011年に開始されたSilk Roadは、最初の、そして最もよく知られているダークネット・マーケットプレイスであると広く考えられています。2013年、Silk RoadはFBIに差し押さえられ、閉鎖しました。
2. ダークウェブ・フォーラム
キャリア豊富なサイバー犯罪者や趣味でハッキングを行うハッカーがダークウェブのフォーラムに集まり、ヒントや新しい脆弱性、潜在的な標的に関する情報を共有し、成功を自慢しています。
サイバーセキュリティーの専門家も、サイバー脅威の状況を監視するために、これらのフォーラムに注目しています。
3. データ漏洩サイト
リーク・サイトは、ハッカーが侵害で盗んだデータを披露する場所です。サイバー犯罪者は成果物のサンプルを投稿し、身代金を支払うか、さもなければ残りのファイル等を公開すると被害者を脅します。
独自のリーク・サイトを管理しているギャングもあります。また、「エクストーション・アズ・ア・サービス」と呼ばれるモデルを採用し、より大規模なギャングがアフィリエイトや同盟関係者が盗んだデータをサイトでホストできるようにしている場合もあります。大規模なギャングの知名度の高いリークサイトを利用すると、被害者に対する支払いの圧力がさらに高まります。他のアズ・ア・サービス製品と同様に、通常、大規模なギャングが身代金の一部を受け取ります。
4. 合法的なダークウェブのウェブサイト
内部告発者は、企業、政府機関、またはその他の機関を通報する際には、多くの場合、ダークウェブのフォーラムやメッセージング・サービスを利用し、匿名で情報を一般に提供します。
同様に、ジャーナリストは匿名性を必要とする情報源とつながるためにダークウェブ・サービスをよく使用します。活動家はダークウェブを利用して、政府の検閲や監視を回避できます。
他のダーク・ウェブサイトはもっとありふれた存在です。これらは、ソーシャル・メディア・サイト、ニュース・サイト、その他の典型的なサービスで、ダークウェブを使用して所有者やユーザーが追跡されないようにサポートするものです。
ダークウェブのダイナミクス
法律や規制の監視がなく、全員が匿名であるネットワークで、ダークウェブはGatesが「評価経済」と呼ぶもので運営されています。ハッカーやディーラーは、信頼性を高めるために過去の活動を利用します。多くのマーケットプレイスにはレビューシステムがあり、支払いを確実に受け取るためのエスクローサービスを提供するマーケットプレイスもあります。
しかし、この評価経済はサイバー犯罪者が被害者に嘘を付いたり、サイバー犯罪者同士が互いに嘘をつく動機付けにもなります。たとえば、彼らはビジネスを拡大したり、被害者に圧力をかけたり、より実績のあるように見せかけるために、実際よりも多くの優れたデータ・セットを盗んだと主張するかもしれません。
そして、生成AIの登場により、その嘘の説得力をさらに高め、偽のデータを作成して侵害を実際よりも大きく見せかけることができます。
「保持しているドキュメントやデータをAIに入力して、『このセットを拡張して、より大きなコレクションのように見せてください』と言うことができます」とGatesは説明します。「多くのデータは偽物であることが判明しますが、実際に違いを見分けることはできません。」
そしてサイバー犯罪者たちは、互いに露骨な詐欺を仕掛け合うことも厭いません。
「特定のフォーラムの管理者が、ある種の出口戦略を実行し、十分な資金を集めて撤退するケースを見たことがあります」とGatesは言います。「市場は閉鎖され、誰もが何が起こったのか途方に暮れます。」
こうした不正な取引や裏切りの結果、ダークウェブでは大量の入れ替わりが発生します。ウェブサイトやサイバー犯罪組織は、次々と現れたり消えたりしています。法執行機関がそれらを閉鎖することもありますが、多くの場合、お互いに騙し合っていることが原因です。
「ダークウェブにおけるパワー・バランスは常に変化しています」とGatesは言います。「追放されたアフィリエイトが分裂して独自の組織を立ち上げることもあります。誰かのエゴが邪魔をしたり、アフィリエイトたち間に何らかの人間的な対立が生じたりするのです。」
ダークウェブ上ではすべてが匿名になっているのか
匿名性はダークウェブの大きな魅力ですが、ユーザーの身元を明らかにする方法はあります。たとえば、タイムスタンプに基づいて、誰かがTorネットワークに送信するトラフィックと特定のサイトへのトラフィックを関連付けることで、法執行機関やセキュリティー専門家は、仮定的にそのユーザーが何をしているかを判断できます。
ポイズンド・ノード(密かにトラフィックを監視するネットワーク上の侵害されたノード)も匿名性に風穴を開ける可能性があります。ユーザーは、ダークウェブ・ブラウザまたはネットワークを誤って設定したり、不適切に使用したりすることで、自分の身元を漏らしてしまう可能性もあります。
ダークウェブ監視は、多くの脅威インテリジェンス活動における中核的な要素です。脅威インテリジェンス・アナリストは、ダークウェブのフォーラムやソーシャル・ネットワークを監視することで、最新のマルウェアや、実際に悪用されている脆弱性、その他の傾向について常に最新情報を入手しています。
サイバーセキュリティーのプロは、ギャング間の対立による影響を利用する場合があります。これは多くの場合、ハッカー同士が互いのウェブサイトを破壊したり、裏切ったり、ソースコードを漏らしたりすることにつながります。たとえば、2025年2月には、敵対するギャングが悪名高いLockbitグループによる最新バージョンのランサムウェアのコードを流出させました。
「これにより、防御側にチャンスが生まれます」とGatesは言います。「突然、模倣ソフトウェアが急増しても、おそらくそれらのOPSECや、マルウェア自体の仕組みについての理解は、それを開発した人ほど熟達していないかもしれません。よって、そのマルウェアは想定通りに使われない場合があります。」
防御側はソースコードやその他の漏洩した情報を入手し、自分で調査することができます。
ダークウェブを注意深く監視することは、サイバーセキュリティー・チームがハッキングをより早く特定する上でも役立ちます。組織が侵害の発生をより早く認識するほど、それを封じ込めるための行動も早期に実行できます。IBMのデータ侵害のコストに関する調査によると、データ侵害を特定して封じ込めるまでに平均241日かかることから、一秒一秒が重要です。