【最新キーワード解説】サイバー攻撃の温床「ダークウェブ」の危機
専門アナリストの知見からアラート

インターネットの闇領域「ダークウェブ」。その情報を逆手に取り、先手を打つことができれば脅威への対策も取りうるはずだ。富士通の取り組みを追う。

ネット上の闇の領域がブラックマーケットに

世界中で垣根を越えた情報が行き交うインターネット。検索をかけるだけで膨大なページが表示されるが、それは全体のごく一部に過ぎないことをご存じだろうか。

インターネットには大きく3つの領域がある。1つが、さきほどのように一般的なウェブサイトの検索でアクセスできる「クリアウェブ」と呼ばれるもので、わずか5%程度しかない。残りの95%程度は、検索ではたどり着けない「ディープウェブ」が占めている。メディアやSNSでの会員制サイトや、ネットバンキングなどアクセスに認証が必要なページが代表的だ。実は、ディープウェブの奥底には、特殊なブラウザでなければ閲覧すらできない闇の領域が数%存在する。それが「ダークウェブ」だ。

ダークウェブとは、どのようなものか。「その存在を一言で表すならブラックマーケット(闇市場)」と語るのは、富士通の鈴木智良氏。鈴木氏によれば、個人情報やドメイン、設計図などの機密情報、マルウェアなど攻撃用ツールやそのツールを用いた攻撃依頼まで、サイバー攻撃や実社会の犯罪につながる情報や取引の温床になっている。「最近ではSNSで企業代表者の偽アカウントが増えています。巧妙なのは、まずは本人に成りすまして、しばらくやり取りを続けること。内部の人間であると信じ込ませた直後に、現金を振り込ませる詐欺行為も目立ちます」(鈴木氏)

インターネットの3つの領域
幅広い情報収集。クリアウェブだけでなく、ディープウェブやダークウェブからも収集。クリアウェブは、SNSや個人サイト等、誰でもアクセスできるウェブサイトの総称。ディープウェブは、検索エンジンでは見つけられないウェブサイトの総称。ダークウェブは、専用のウェブブラウザからのみアクセスが可能な、情報交換やツールの共有などに利用されるウェブサイトの総称。

脅威情報を提供するセキュリティサービス

富士通株式会社
サイバーセキュリティ事業戦略本部
GMSS事業部
GMSSオファリング部長
鈴木 智良氏

ダークウェブには、企業経営にとって大きなリスクとなるような認証情報や各種攻撃ツールが流通しており、サイバー攻撃を予告するやり取りが見つかることも少なくない。もし、ダークウェブの情報を収集・分析できれば、サイバー攻撃などをいち早く察知し、被害を食い止めることも考えられる。ただし、一般企業が特殊なブラウザを用いてダークウェブを閲覧することは避けるべきだ。マルウェアが各所に仕掛けられ、アクセスするだけでもサイバー攻撃を受けることになりかねない。犯罪サイトに不用意に出入りすれば、犯罪者から脅迫を受けるなどの被害を受ける可能性もあるからだ。

そこで注目されているのが、ダークウェブを含めた脅威情報を提供するセキュリティサービスの活用だ。この2、3年の間に、さまざまなベンダーがサービスの提供を始めている。富士通でも2018年9月に「サイバー脅威プロアクティブ分析サービス」を顧客向けに開始し、その一環としてダークウェブの情報収集や分析に力を注いでいる。

富士通のダークウェブヘの取り組みは、高度な技術力とセキュリティの専門家による知見を融合させた点が特徴だ。イスラエルの新鋭企業であるintSights社との協働によるAI(人工知能)でのロボット型検索に加え、人の手を通じて深堀もしていく。こうした情報にアナリストがフィルタリングやレベリングを加えていく。緻密な分析を担当するのは、富士通でもトップクラスの精鋭部隊によるA3L(エイキューブラボ)という専門チーム。マルウェア解析のためのリバースエンジニアリングやデジタルフォレンジック(攻撃の痕跡情報)調査など経験豊富な人材により編成された専門家集団だ。

「検索をかけた時にあまりに表示数が多いと、どれが本物なのか理解するのが困難です。加えて、どのようなキーワードで検索すべきか迷うでしょう。わたしたちの分析サービスでは、調査すべきキーワードを50個絞り込んでご提案できるノウハウもあります」(鈴木氏)。情報収集により上がってきた数多くの情報に対しても「ノイズを適切に落としながら、日本に重点を置いた観点で分析した内容をお届けします」(鈴木氏)

ダークウェブヘの高い知見が安全への礎に

自社への脅威となる情報がダークウェブから見つかった際には、どのような対策が必要なのか。鈴木氏は大きく3つの視点を語る。「1つは、自社が直接的な攻撃対象となっているもの。集中的なリクエストによる通信不能など、エンドユーザーにまで被害が想定される際は、ネットワークの帯域を制御したり、ファイアーウォールの設定を変更したりするなど、即時性のある対応が必要です。2つ目は情報漏洩が疑われるもの。まずは、その情報が本物であるかを確認すること。偽物である可能性も高いからです。もし本物であれば回収は困難です。今後に向けて流出源を突き止め、セキュリティの改善に努めるべきでしょう。3つ目が悩ましく企業側からは何もできないケースです。例えば、偽アプリやフィッシングサイトはお客様への注意喚起はできても直接的な対応が難しい。ただし、SNSの運営元など手続きを踏めば情報を消す対策も可能であり、私たちもお客様に代わって実行支援しています」

いまもセキュリティサービスや対策製品の研究開発に注力している富士通グループ。マルウェアの行動パターン分析などで得た防御力は商品開発にもつながっている。ダークウェブの危機に対しても高い知見が安全への礎になりそうだ。

「サイバー脅威プロアクティブ分析サービス」の調査レポートの例
顧客別にカスタマイズして情報を提供。エグゼクティブサマリ。攻撃の兆候。情報漏洩。フィッシング。ブランド関連 等。継続的にレポーティングする月額制メニューと、単発での調査を依頼できるスポット型メニューの2種類がある。
  • (注)
    本特集は日本経済新聞出版社の許可を得て、「日経MOOK」3月12日号『まるわかり!サイバーセキュリティ』(日本経済新聞出版社刊)に掲載された内容より転載したものです。
    記事作成時点の情報のため、その後予告なしに変更されることがあります。あらかじめご了承ください。

お問い合わせはこちら

当社はセキュリティ保護の観点からSSL技術を使用しております。

ページの先頭へ