ダークウェブをスパイする「Tor HSDir」が100以上見つかる

『Security Affairs』

August 8, 2016 09:00
by 『Security Affairs』

Torノードからのトラフィックを監視しようとする試みは目新しいものではない。以前にも我々は、攻撃者がユーザーの匿名性を暴くために悪意のある出口ノードを設置するという活動について報じている。

2014年初め、スウェーデンのカールスタード大学の研究者Philipp Winter氏とStefan Lindskog氏が、ウェブトラフィックの改ざんや、トラフィックの解読、ウェブサイトの検閲を行うTorネットワークのノード25個を特定した。この研究者らは、Torネットワークの出口ノードでの怪しい行動を分析するための4ヵ月に及ぶ調査を実施し、その結果を発表した。彼らは、特定ではないのロシア国内の何者かがTorネットワークの末端でノードを傍受していたことを発見した。

「秘匿サービスディレクトリ」(HSDir:hidden service directory)は、ユーザーが秘匿サービスを訪問するためのネットワークリレーだ。今回研究者らは、悪意あるHSDirを100以上も見つけ出した。

研究者であるFilippo Valsorda氏とGeorge Tankersley氏は1年前、アムステルダムで開催されたHack in the Box セキュリティカンファレンスで、HSDirノードの解析を活用した匿名性を暴くための技術を披露した。

「入り口ノードや出口ノードからトラフィックの匿名性を解除するのはとても難しいことから、この研究者らは接続が発生するタイミングを見極められる他のものがないかと考え始めていた。その答えが、秘匿サービスのデータベースだっだ」とiDigitalTimesは報じている。「秘匿サービスをホストしたい場合、Tor Onionデータベースでサービスをアドバタイズする必要がある。このデータベースは、HSDirと呼ばれる安定したリレーマシンのグループで構成されるDHT(訳注:Distributed Hash Table)である。秘匿サービスを訪れようとする人は、データベースにサービスに関する情報をリクエストしなければならない。従ってこれらのリレー(HSDir)では、通信のためにリクエストしている人物や通信したいタイミングを知ることができる。よって攻撃者はユーザーのトラフィックの匿名性を暴くために、秘匿サービス用のHSDirノードになるという手が使えるのだ」
.
Tor Projectが公開しているTor Metricsを見てみると、HSDirフラグを持つ3100以上のノードがあることが分かる

攻撃者は秘匿サービスのアドレスのログを取るように設定し、HSDirを悪用する。MotherboadのJoseph Cox氏は、ノースイースタン大学のコンピューター・情報科学カレッジの教授 Guevara Noubir氏と同大学の博士候補Amirali Sanatinia氏が実施した調査について報じている。両氏は、TorウェブサイトをスパイするTor秘匿サービスディレクトリが複数存在することを明らかにした。このような種類の攻撃によって、法執行機関がブラックマーケットや児童ポルノサイトのIPアドレスを発見できる可能性がある。

類似技術は、ダークウェブ情報サービスを提供するセキュリティ企業にとっても大いに役立つ。攻撃者がこの技術を用いてTor秘匿サービスのIPアドレスを明らかにする可能性がある。Noubir氏は8月に開催されるハッキングカンファレンスDEF CONにて調査結果を発表する予定だ。

「我々は、自分たちが作ったものを『honey onions』もしくは『honions』と呼んでいる。これらは、誰とも共有されていないonionアドレスである」と Noubir氏は話した。

彼らは72日以上に渡って4500のhoney onionsを作動させ、少なくとも110のHSDirが秘匿サービスをスパイするために設定されているということを特定した。

偽のHSDirを運用する攻撃者の中には、ペネトレーションテストを含むさまざまな活動に関わる積極的なオブザーバーもいるということを研究者らは強調している。

偽のHSDirの大部分をホストするのが米国で、ドイツ、フランスが続く。しかし実際にこれを運用しているのが誰かということを知るのは不可能である。

 
翻訳:編集部
原文:Boffins spotted over 100 snooping Tor HSDir nodes spying on Dark Web sites

※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…