Shutterstock
違法な情報が行き交う「ダークウェブ」の存在が、ニュースなどで報じられる機会が増えている。このダークウェブに注目している企業のひとつが、会計事務所やコンサルティングファームとして知られるPwCだ。
2月7日、日本法人PwC Japan グループがダークウェブに対する最新の取り組みを報道関係者向けに紹介した。なぜ経営コンサルティング会社がダークウェブに取り組むのか、企業を取り巻くサイバーセキュリティーの最前線に迫ってみた。
そもそも「ダークウェブ」の定義とは何か?
Surface Web、Deep Web、Dark Webの違い。
PwC Japan
そもそもダークウェブとは何か?
インターネット上のウェブサイトは、一般的なウェブブラウザーでアクセスできる「Surface Web」、IDやパスワードを入れてアクセスする「Deep Web」に加え、特定のソフトウェアや認証が必要な「Dark Web」が存在すると、PwCサイバーサービス サイバーセキュリティ研究所 所長の神薗雅紀氏は説明する。
ダークウェブ観測の取り組みについて説明するPwCサイバーサービス サイバーセキュリティ研究所 所長の神薗雅紀氏。
「ダークウェブ」という名前から、我々が日常的に利用するインターネットとは別世界のネットワークを想像する人がいるかもしれないが、実際にはインターネット上に存在する特殊なウェブサイトに過ぎない。
ダークウェブの特徴は、匿名性の高さにある。最も活発に利用される「Tor」(トーア)は、玉ねぎの皮のように何重にもデータを暗号化するオニオンルーティングと呼ばれる技術を使っており、発信者を特定しにくい。同様の仕組みを用いて、サーバーの場所を特定できない「Hidden Service」も運用されている。
暗号化により発信者を特定を困難にする「Tor」。ここ数年、不正アクセスなどハッキングに絡んだ事件で報道される機会が多いツールでもある。
発信者を特定できないという性質を利用することで、ダークウェブには一般的なウェブサイトに載らない違法な情報や偏った投稿が流通する。仮想通貨を介したドラッグや銃の密売サイトが存在し、本物と思われる日本人のクレジットカード情報も多数、販売されているという。
その中には、中国語で書かれた中国政府に批判的なサイトのように、反体制の文脈で活用されることもある。匿名性の高さは犯罪に使われるだけでなく、個人のプライバシーを守ったり、検閲に対抗したりする場合にも有効という側面もある。
PwCのサイバーセキュリティ研究所では、ダークウェブの「観測」を進めている。ダークウェブで使われる「.onion」アドレスは平均すると約3週間で消えるため、追跡できなくなるという。そこで世界各国にハニーポット(情報収拾を目的とした罠)を設置し、拠点を自動巡回するクローラーによる情報取得を進めている。
「サイバー攻撃誘引基盤“STARDUST”」で犯罪者の活動を観測。
PwC Japan
国内で進める情報通信研究機構(NICT)との共同研究では、マルウェアに感染させた環境によるおとり調査として、リモートから接続してきたサイバー犯罪者の行動を観測する取り組みが紹介された。
この事例では、サイバー犯罪者が、「どこかから流出したと思われる大量のPayPalアドレス」をチェッカーにかけて有用なもの確認。実際に他人のアドレスで買い物をしようとしたところ、PayPal側の対策に阻まれて失敗し、その一部始終を研究者によって録画されていた。
地政学要因の変化で需要増、リスク評価にも活用
Shutterstock
ところで、経営コンサルティングや会計事務所として知られるPwCが、なぜダークウェブ対策を研究するのだろうか。PwCコンサルティング パートナーの山本直樹氏によれば、サイバーセキュリティービジネスの拡大がその背景にあるという。
PwCコンサルティング パートナーの山本直樹氏。
最近の動きとして、山本氏は地政学的な環境変化を挙げる。
「国と国の力関係が大きく変わろうとしている中で、目に見えないところでサイバー攻撃や情報収集が行われている」(山本氏)
顧客企業の意思決定においても、「こうした背景を理解していないと判断を誤る恐れがあり、サイバーセキュリティーの深い知識や最新の技術に基づいた支援が必要になってきた」(同)と説明する。
こうした中、2017年3月にはサイバーセキュリティ研究所を設立し、日本では10名体制で運営。イギリスなど海外拠点と連携しながら、5年、10年先を見据えた研究体制を整えるべく、「攻撃者の先を行ける」ような最先端の研究者を増強しているという。
PwC サイバーセキュリティ研究所のミッション。
PwC Japan
研究所が手がける専門領域として、中部電力のセキュリティー評価も担当した「レッドチーム演習」では、擬似的にサイバー攻撃を実施することで、セキュリティー対策の有効性を評価する訓練を行った。研究所が独自に作成したツールを使うことも強みとしている。
サイバー攻撃に対する訓練の一種「レッドチーム演習」。
PwC Japan
ワイヤレスセキュリティーの分野では、国内でも話題となったクルマのスマートキーに対する「リレーアタック」の事例を紹介。こうした特定省電力無線を用いたリプレイ攻撃についても、技術的観点から中継器を使った自動車犯罪の可能性に着目し、2年前から研究を進めてきたことを紹介した。
特定省電力無線のリプレイ攻撃の事例。
PwC Japan
ダークウェブを用いたサイバー攻撃の事例としては、工場から退職した従業員がTorを利用して社内から内部情報を盗み出した事件を紹介した。
このケースでは、退職前のPCにTorなどのツールを利用した痕跡が残っていたことから、犯人の特定に成功。ダークウェブへのアクセスや関連ツールといった特徴点を観測することで、サイバー攻撃や内部犯行を検知できることを示した。
ダークウェブを利用した犯人を特徴点から特定。
PwC Japan
PwCでは、こうした体制を国内で持っていることを強みに挙げる。競合他社は海外のエキスパートを連れてくる場合もある中で、PwCは日本企業の背景や文脈を理解した専門家がコンサルティングに参加できることを特徴とした。
また、企業間の合併や買収(M&A)などの際には、相手企業から情報が流出していれば大問題になることから、ダークウェブに関する調査依頼も増えているという。同社は、一般のウェブサイトからダークウェブを横断した分析により、デューデリジェンス(リスク評価)にも活用できるとした。
(文、写真・山口健太)
山口健太:10年間のプログラマー経験を経て、2012年より現職。欧州方面の取材によく出かけている。著書に『スマホでアップルに負けてるマイクロソフトの業績が絶好調な件』。
