常態化する「ばらまき型攻撃メール」

　アカウント情報の大量漏えいや攻撃メールは今に始まったことではないが、ソーシャルネットワークのタイムラインをウォッチしていると、不審な請求書メール、通販を装ったメールといった攻撃の報告が増えていると感じる。件名に請求書に関する文言がついた攻撃メールは2016年あたりに報告が目立ち始め、2018年の2月にJC3（日本サイバー犯罪対策センター）が関連の注意喚起を行っている。似たようなばらまき型の攻撃は、楽天市場、楽天カードを装ったものについて電通大が注意喚起を発信している。ほかにも大手金融機関やポータルサイト、大手ECサイト、ISPを騙った添付メールを受け取った人もいるだろう。

　ばらまき型攻撃メールの背景には、流出した大量のアカウント情報、メールアドレスのリストの存在があるとされている。このようなリストは、過去の大規模な情報漏えい事件で流出したものや恒常的に発生している小規模な攻撃によって集められたものによって構成される。リストは「ダークウェブ」に流通しており、攻撃者によって利用される。ファイア・アイが報告した2億件もの日本のアカウント情報も、ダークウェブの共有ファイルとして保存されていたものと予想される。

検索「できない」ダークウェブ、20％は2カ月以内に消える

　ダークウェブというと、犯罪者どうしの閉じたネットワークでインターネットとは遮断されたネットワークをイメージするかもしれない。しかし、ダークウェブはインターネットから完全に隔離されているわけではない。

　定義としては「一般的な検索エンジンにはインデックスされていないサイト、ホスト」のこととなる。グーグルは「すべての情報をインデックスする」ことをミッションの1つに掲げているが、現実にはそれは成功していない。検索エンジンのデータベースに登録されないサイト、特に登録されないように意図されたサイトやコンテンツがインターネット上には存在する。

　これらのサイトやコンテンツへのアクセス方法も特殊で、VPN、暗号化通信、Tor（The Onion Router）のような匿名技術が利用される。Torは、オニオンルータと呼ばれる経路情報をたどりにくいルータ機器によって匿名性の高いネットワークを維持している。オニオンルータの名前は、玉ねぎの皮をむいても中身が出てこないように、経路情報をたどってもなかなか発信者にたどりつかないことに由来する。設置は研究者やハッカーなどボランティアが行っている。Torネットワークへのアクセスは、専用のTorブラウザを利用する。

　ダークウェブのサイトは新陳代謝も早い。FBIやEC3（Europol Cybercrime Center）が「Silk Road」というドラッグマーケットサイトを閉鎖させた際の調査では、ダークウェブ上のサイトは200日前後の稼働が多く、20％ほどは2カ月以内に消えている。

【次ページ】 「ディープウェブ」と何が違うのか　ニューヨーク・タイムズも使っている？