「ダークマーケットサイト」大量摘発の疑問 Torの匿名性は破られたのか?

西方望

December 18, 2014 14:11
by 西方望

11月7日、FBI(米国連邦捜査局)とEuropol(欧州刑事警察機構)は、違法な物品やサービスを販売する「ダークマーケット」サイトの大規模な摘発作戦を行ったと発表した。この作戦はFBIとユーロポールが主導し、DEA(麻薬取締局)、HSI(国土安全保障調査部)、ATF(アルコール・タバコ・火器及び爆発物取締局)、シークレットサービスなどのさまざまなアメリカ政府の組織や欧州16ヵ国の法執行機関が協力したという極めて大がかりなものだ。その結果、410以上のダークマーケットサイト(ただしアドレスの数。実サイト数は30以下と思われる)を停止させ、運営者など17名を逮捕。約100万USドル相当のBitcoin、約18万ユーロの現金のほか、ドラッグ・金・銀などを押収したという。

摘発された中での最も「大手」は「Silk Road 2.0」というサイトで、おそらくここが今回の作戦のメインターゲットだったと思われる。Silk Road 2.0は、ドラッグ販売で知られていた「Silk Road」(2013年に摘発)の後継を名乗り、ドラッグ以外にも偽造身分証明書類やハッキングツール・サービスなどを販売。取引はBitcoinで行われ、月に800万USドルもの売り上げがあったという。この他に「Pandora」「Blue Sky」「Executive Outcomes」「Fake Real Plastic」といった、盗難クレジットカード情報、偽造クレジットカード、偽造通貨、銃器など、さまざまな違法物品、サービスを販売するサイトが多数摘発された。

これらのサイトは、単に違法な物品やサービスを販売していたWebサイト、というだけではない。いずれも「Tor(トーア)」ネットワーク上で運営される「Hidden Service」だったのだ。今回の摘発作戦のコードネームは「Operation Onymous」。軍事作戦にしろ研究開発にしろ、コードネームは実際の内容と特に関係のないものが付けられることも多いが、このOperation Onymousという名前はある意味今回の作戦の本質を表しているとも言える。「onymous」は「顕名」とも訳され、「anonymous(匿名)」から派生した言葉。an-が「非」「無」などを意味する接頭語であることから、これを除いて反対語としたものだ(語源的には本来an+onymousだが、英単語としてはanonymousという形しかなかった)。つまりOperation Onymousとは「匿名を暴く作戦」という意味だと見ていいだろう。

言うまでもないことだが、通常はインターネットにおける通信に匿名性はない。例えばあなたがWebサイトを閲覧する場合、Webサイト側があなたのブラウザーに画像や文字のデータを送るためには、あなたのIPアドレスを知らねばならない。そして、例えば掲示板に脅迫や犯行予告を書き込んだりすれば、プロバイダーは警察にIPアドレスの持ち主を開示し、あなたの身元が判明して逮捕されることとなる。

これを回避する、つまり自分のIPアドレスを隠してアクセスする方法はいくつかあるが、現在最も簡単で安全性が高いのがTorだろう。Torは2012年のいわゆる遠隔操作ウイルス事件で犯人が利用していたことにより、日本でもよく知られるようになった。

もちろんTorは身元を隠して犯罪や悪事を行うことを目的として開発されたわけではない。実際に、インターネットに対して政府が厳しく統制や監視を行っている国で、民主活動家などが安全に情報を収集・発信するなどといった用途にも広く使われている。そもそも、Torの基盤となる技術の「オニオン・ルーティング」はアメリカ海軍調査研究所が開発したものだ。海軍調査研究所は当初Torプロジェクトの支援も行っていた。ちなみにTorという名前は元々「The Onion Router」から来ているが、現在は何かの略語ではないということになっており、TORではなくTorと綴る。

Torを使用すれば、通信は複数のサーバー(中継ノード)を経由するため、アクセス先に残るのは最後に経由した中継ノードのアドレスだけであり、元のアドレスをたどることはほぼ不可能となる。中継ノードはボランティアで運営され、世界中に数千台存在する。Torクライアントは最初の中継ノードと暗号化した通信を行い、その中継ノードは別の中継ノードとさらに暗号化した通信を行い、次の中継ノードはまた……と、暗号化が多層化している様がタマネギのようだというのが、オニオン・ルーティングという名前の由来だ。

各中継ノードが知ることができるのは自分が直接通信した相手のアドレスだけであり、その先を辿ることはできない。また、中継ノードはランダムに選択され、さらに一定時間ごとに経路が変更されるため、もし通信を記録するような悪意ある中継ノードが多少紛れ込んでいたとしても、匿名性が破られることはまずあり得ない。

Torネットワークでは、上記のようにユーザーがインターネット上のサイトと安全に通信するだけでなく、匿名で情報を提供する手段も用意されている。それが「Hidden Service」で、WebサービスなどをTorネットワーク上で公開できる。Hidden Serviceは「.onion」というTorネットワーク上のみで通用するドメイン名を持つホスト名で提供される。Hidden ServiceサーバーのIPアドレスは秘匿されるので、誰が情報発信者かを知ることはできない……はずだ。

しかし今回の作戦では、TorのHidden Serviceである多数のサイトが摘発され、運営者が逮捕された。今までもTorの匿名性を暴こうとする攻撃はいくどとなく行われてきたが、これほどの規模でHidden Serviceが特定された例はかつてなかったと思われる。この件に関しTorプロジェクトは「われわれもあなた方同様驚いている」「どのように特定したのかはわからない」と困惑を表明した(Thoughts and Concerns about Operation Onymous/Tor Project)。

とはいえ、原因についてのいくつかの推測は提示している。最もあり得るシナリオとされているのが、運用上の問題だ。運営者が他の場所で身元の判明につながる行動を取っていたり、捜査員がネットで運営者に接近して探り出すなど、Torとは関係ないレベルで特定されたという、ある意味ごく普通のやり方だ。また、WebサイトにSQLインジェクションなどの脆弱性があり侵入されたとか、Bitcoinから足が付いたという推測も示されている。もちろん、Torネットワークへの攻撃という可能性も排除はしておらず、過去に行われた攻撃手段や未知の脆弱性についても検討されているが、結論は出ていない。

だがやはり「最もあり得るシナリオ」の方に説得力があり、おそらく「Torの匿名性が根本的な危機にさらされている」という事態ではない可能性の方が高い。しかし今回の件は、匿名だからといって好き放題をすることは許されないという教訓にはなるだろう。そうは言ってもすぐにSilk Road 3.0的なサイトが出現するとは思うが。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…