- ダークウェブとは、通常の検索エンジンには表示されず、Torなどの専用ソフトでしかアクセスできない匿名性の高いウェブ空間のことだ。
- 発信元の特定が極めて困難な匿名性ゆえに、盗まれた個人情報やクレジットカード情報、マルウェアや攻撃ツールが売買され、サイバー犯罪の温床として漏洩データが流通する闇市場になってしまっている。
- 仕組みを知っておけば、自分の情報が漏洩していないか確認し、パスワード使い回しをやめるといった防御につながり、漏洩データの悪用に備えられる。
【深掘り】これだけは知っておけ
ダークウェブ(Dark Web)は、一般的な検索エンジンには登録されず、Edge・Chrome・Safariなどの通常ブラウザではアクセスできないウェブサイトの集合です。アクセスには「Tor(The Onion Router)」などの専用ソフトが必要で、.onionという特殊なドメインを持ちます。元々は米国海軍が通信の秘匿性を保護する目的で開発した「オニオン・ルーティング」技術が起源で、通信を複数の暗号化された中継サーバ(リレー)に通すことで発信元の特定を困難にします。この匿名性は、独裁政権下のジャーナリストや内部告発者が監視を逃れて情報共有する合法的な用途にも使われます。
一方で、その匿名性が悪用され、ダークウェブは違法取引の温床にもなっています。盗まれた個人情報・クレジットカード情報・ログイン認証情報、マルウェアやハッキングサービス、麻薬・偽造品・児童搾取コンテンツなどが売買されています。日本では2012年の「パソコン遠隔操作事件」でTorが悪用され、無実の人が次々と誤認逮捕される社会問題となり、Torの存在が広く知られました。2018年の暗号資産NEM流出事件でも、犯人がダークウェブ経由で盗んだ暗号資産を交換していたことが判明しています。重要なのは、データ漏洩事件で流出した情報が、ダークウェブ上の闇市場で売買され、さらなる不正アクセスやなりすましに使われる連鎖です。
個人ができる対策として、まずパスワードの使い回しをやめ、サービスごとに異なる強固なパスワードを設定すること。二段階認証(2FA)を有効にすること。「Have I Been Pwned」などのサービスで自分のメールアドレスが漏洩していないか確認すること。一部のセキュリティソフトにはダークウェブ監視機能があり、自分の情報が流通していないか調べられます。なお、好奇心でダークウェブにアクセスすることは強く非推奨です。マルウェア感染や違法コンテンツへの接触、犯罪への巻き込まれといったリスクがあり、個人情報を売買すれば当然違法です。重要なのは、自分の情報を守り、漏洩に備える姿勢です。
ダークウェブで取引される主なもの
| 取引対象 | 悪用のされ方 | 個人への影響 |
|---|---|---|
| 個人情報・認証情報 | なりすまし・不正アクセスに使用 | アカウント乗っ取り・金銭被害 |
| クレジットカード情報 | 不正利用・転売 | 身に覚えのない請求 |
| マルウェア・攻撃ツール | サイバー攻撃に使用 | 感染端末からの情報窃取 |
典型的なフレーズ・文脈
(闇市場の出品)大手ECサイトから流出したアカウント情報10万件セット、メールアドレス・パスワード付き。暗号資産で0.5BTC。パスワード使い回しユーザーが多いから、他サービスへの不正ログインにそのまま使える。お買い得だ。
ダークウェブの闇市場で流出した認証情報が売買される典型的な様子です。パスワードの使い回しが、こうした情報の価値を高めてしまいます。
セキュリティ専門家は、データ漏洩事件で流出した個人情報がダークウェブ上で売買され、なりすましや不正アクセスに使われていると指摘し、パスワードの使い回しをやめ二段階認証を有効にするよう呼びかけています。
ダークウェブでの個人情報売買の実態を報じる報道番組のキャスターを想定した表現です。
ダークウェブには漏洩情報が流通しています。パスワードの使い回しをやめ、二段階認証を有効に。漏洩確認サービスで自分の情報をチェックを。好奇心でのアクセスは危険です。被害は#9110へ。
セキュリティ専門家が、ダークウェブの漏洩情報に備える防御策を助言する場面を想定しています。
困ったときの相談窓口
個人情報の漏洩や不正アクセスの被害が疑われる場合は、以下の窓口に相談できます。
| 窓口名 | 電話番号 | 受付時間 | 対応内容 |
|---|---|---|---|
| IPA安心相談窓口 | 03-5978-7509 | 平日 10:00〜12:00、13:30〜17:00 | 不正アクセス・情報漏洩の相談 |
| 警察相談専用電話 | #9110 | 平日 8:30〜17:15(各都道府県で異なる) | サイバー犯罪・なりすましの相談 |
| 消費者ホットライン | 188 | 地域の窓口に準ずる | クレジットカード不正利用などの相談 |
【まとめ】3つのポイント
- 正体は匿名性の高い闇のウェブ空間:Torなどの専用ソフトでしかアクセスできず、追跡が困難です。
- 漏洩した個人情報の闇市場:盗まれた認証情報やカード情報が売買され、なりすましや不正アクセスに使われます。
- パスワード使い回しをやめ漏洩確認を:二段階認証を有効にし、漏洩確認サービスで自分の情報をチェックしましょう。
よくある質問
-
Q自分の情報がダークウェブに流出しているか確認できますか?
-
A
「Have I Been Pwned」という無料サービスで、自分のメールアドレスが過去のデータ漏洩事件に含まれているかを確認できます。また、一部のセキュリティソフト(ノートン、マカフィーなど)にはダークウェブ監視機能があり、自分の情報が闇市場で流通していないか継続的にチェックできます。漏洩が確認できたら、該当サービスのパスワードを直ちに変更し、同じパスワードを使い回している他のサービスもすべて変更してください。
-
Qダークウェブにアクセスするだけで違法ですか?
-
A
Torブラウザの使用やダークウェブへのアクセス自体は、日本では違法ではありません。FacebookやTwitterの.onionサイトなど合法的なコンテンツもあります。しかし、違法な物品や情報を購入・売買すれば当然違法です。また、好奇心でアクセスすると、マルウェア感染、違法コンテンツへの意図しない接触、詐欺被害、犯罪への巻き込まれといったリスクが高く、強く非推奨です。一般の利用者がアクセスするメリットはほとんどありません。
-
Q情報が流出していたらどう対処すればいいですか?
-
A
まず、漏洩したアカウントのパスワードを直ちに変更し、同じパスワードを使い回している他のサービスもすべて変更してください。二段階認証を有効にすることも重要です。クレジットカード情報が漏洩した場合は、カード会社に連絡して利用停止・再発行を依頼します。不審な請求や心当たりのないログイン通知がないか確認し、あれば速やかに対応してください。今後の予防として、パスワード管理ツールでサービスごとに異なる強固なパスワードを使う習慣をつけましょう。
-
Qダークウェブとディープウェブの違いは何ですか?
-
A
ディープウェブは、検索エンジンに登録されていないウェブの領域全般を指す広い概念で、オンラインバンキングの個人ページ、企業の内部ネットワーク、ID・パスワードが必要なページなどが含まれます。これらは必ずしも危険ではありません。ダークウェブはディープウェブの一部で、Torなどの専用ソフトでしかアクセスできず、.onionドメインを持つサイトの集合です。ディープウェブが大きな概念で、ダークウェブはその中の特殊で匿名性の高い領域だと理解してください。
この用語と一緒に知っておきたい用語
| 用語 | この記事との関連 |
|---|---|
| クリックジャッキング | クリックジャッキングとは、Webページ上に透明なボタンやリンクを重ねて、ユーザーが意図しない操作(送金・フォロー・設定変更など)を実行するよう誘導するサイバー攻撃のことだ。 |
| ブリッジハック | ブリッジハックとは、異なるブロックチェーン同士をつなぐ「クロスチェーンブリッジ」を狙った攻撃で、ブリッジに預けられた巨額の暗号資産が一度に流出する事件のことだ。 |
| マルバタイジング | マルバタイジングとは、正規の広告配信の仕組みを悪用し、信頼されたWebサイトに表示される広告を通じてマルウェア感染や不正サイトへの誘導を行うサイバー攻撃のことだ。 |
| 生体認証スプーフィング | 生体認証スプーフィングとは、顔・指紋・虹彩などの生体情報を写真・3Dマスク・ディープフェイク動画・偽造指紋などで再現し、本人になりすまして生体認証を突破する攻撃のことだ。 |
この手口が実際に使われた事件
| 事件 | この記事との関連 |
|---|---|
| ホテル従業員のカード不正利用 | ホテルのインサイダー詐欺とは、 コンシェルジュやフロントスタッフなどの従業員が、業務上アクセスできる顧客のクレジットカード情報を盗み不正利用する 内部犯行である |
| ケビン・ミトニック | ケビン・ミトニックは ソーシャルエンジニアリング (人間の心理を利用した情報窃取)を武器に、DEC、パシフィック・ベル、モトローラ、ノキアなど大企業のシステムに侵入した伝説のハッカーである |
| オレオレ詐欺のリーダー格 | オレオレ詐欺の組織は 主犯格を頂点としたピラミッド構造 で運営される。主犯格は犯罪の実行に直接関わらないため捕まりにくく、暴力団関係者であることも多い |
コメント