二重脅迫型と呼ばれるランサムウェアは、データの暗号化にとどまらずデータを窃取して暴露すると脅すことで身代金を得ようとします。ランサムウェアによって窃取された被害者のデータを暴露することに使われているのが闇サイトなどとも言われるダークウェブです。ダークウェブとはどのようなものなのでしょうか?
サイバー犯罪に悪用されている匿名通信
ダークウェブについてウィキぺディアは「ダークネットに存在するWorld Wide Webコンテンツ」と説明しています。私たちが日常的に使っているインターネットのウェブサイトはGoogleのような検索エンジンで検索すれば表示されるわけですが、ダークウェブは一般の検索エンジンによってインデックス化されていません。また、ダークウェブは深層ウェブ(Deep Web)の一部を構成しているということです。
Googleのような検索エンジンがどのようにしてサイト情報をインデックス化しているのかというと、クローラというロボットがWorld Wide Webを巡回して情報を収集し、収集した情報をインデックスにして表示しているわけです。しかし、クローラが著作権法上の理由などから収集を拒否したり、パスワードで保護されているなどの理由から収集することが出来ないサイトが数多く存在します。こうした検察エンジンによってインデックス化されないウェブを総じて深層ウェブ(Deep Web)と呼んでいます。そして、深層ウェブの中でも、アクセスするために特定のソフトウェアや設定、認証が必要なオーバーレイ・ネットワークであるダークネット上に存在するのがダークサイトです。オーバーレイ・ネットワークとはコンピューター・ネットワーク上に構築された別のコンピューター・ネットワークのことを言います。
ダークウェブとしてよく知られているのがTor(The Onion Router)の. onionドメインのサイトです。Tor(The Onion Router)はアメリカの海軍研究所が開発した暗号化技術によって匿名で通信を行うことができるシステムで、現在はオープンソース化されて一般に使われています。匿名が担保され、履歴も残らないことから秘匿性の高い情報のやりとりや告発の場などとしても利用されているようです。しかし、一方でサイバー犯罪者たちが情報を交換したり、マルウェアの売買に利用しているほか、ランサムウェア等によって窃取した様々なデータを「公開」する場としても使われている実態があります。
データが暴露された被害組織はのべ2255
トレンドマイクロ資料より。×は現在は活動を停止しているランサムウェア
サイバーセキュリティ企業のトレンドマイクロでは、SodinokobiやDarkSideなど31件のランサムウェアの暴露サイトを2019年11月から監視しており、これら暴露サイトにデータが暴露された組織は今年5月15日までにのべ2255組織にのぼっていると明らかにしています。暴露した被害組織数がもっとも多かったのはContiの暴露サイトで347組織、次いで多かったのが現在は休止しているMAZEの330組織、そしてSodinokobiの251組織だということです。
暴露されたのべ2255組織のうち日本関連の組織に関するデータの暴露は41組織だったということです。ちなみにこの中には日本企業製品の海外販売会社等も含まれています。日本関連組織の暴露が多かったランサムウェアは、DoppelPaymerの11組織が最多で、次いでMAZEの6組織、SodinokobiとEgregorがともに4組織と続いています。サイバーセキュリティ企業、パロアルトネットワークスの脅威分析チームUNIT42によると、日本関連組織のデータ暴露が多いDoppelPaymerは2019年6月に最初に公開され、BitPaymerというランサムウェアファミリーの一部だということです。2020年にDoppelPaymerにより支払われた身代金額の平均はビットコイン支払いで日本円にして3020万円だったということです。
トレンドマイクロの調査によれば、暴露サイトへの被害データの投稿は2020年に急増し2020年9月と11月には200件以上にのぼり、今年になってからも毎月100件以上もの組織のデータが暴露サイトに投稿されている状況が続いています。
■参考
https://blog.kaspersky.co.jp/deep-web-dark-web-darknet-surface-web-difference/29966/
https://unit42.paloaltonetworks.jp/ransomware-threat-assessments/4/