サンパウロの大学がダークウェブを覗き見? Torリレー運営から追放される

『Security Affairs』

September 6, 2017 12:00
by 『Security Affairs』

ブラジル・サンパウロ州にあるカンピーナス大学の研究チームが、訪問者から.onionアドレスを収集していたことが発覚したためにTorリレーノードを追放された。

同大学の上位研究者マーカス・ロドリゲスの説明によれば、彼とその同僚たちは「悪質な秘匿サービスを識別できるツール」の開発に取り組んでいたという。

Torの管理者によれば、彼らの活動はTor Projectの倫理ガイドラインに違反した行為であり、それがノード禁止の引き金となった。

この研究者たちが、Torメーリングリストに投稿した説明は次のとおり。

「私のリレーは『onion』アドレスを収集していました。それが規則や倫理ガイドラインに違反していたのなら、謝罪いたします」

「我々は、悪意をもった秘匿サービスの行動を研究し、『悪性の秘匿サービス』と『良性の秘匿サービス』を区別することができるツールを設計するための調査に携わっていました」

「我々は主に『ウェブページ』のほうに焦点を当てているので、必要なデータのほぼ全てを収集する際にはクローラーを利用しています。しかし一部の統計値(たとえばTorネットワークのサイズや、HTTPプロトコルを利用している秘匿サービスの数、他のプロトコルの利用数、どんなプロトコルが利用されているのかなど)はクローラーで取得できません。そのため我々は .onionアドレスを収集していたのです」

「我々は、収集した少数のランダムなアドレスについて、それがウェブサーバーを運用している場合には、簡単なポートスキャンを行い、インデックスページをダウンロードするつもりでした。また我々は、それら少数の秘匿サービスの平均的な存在期間を知ろうとしていました。しかし統計的な目的のために必要となるデータを集めたあとは収集した.onionアドレスを削除する予定で、また我々の収集した特定の .onion アドレスから得られる情報は、いかなる状況でも決して開示するつもりはありませんでした。さらに我々は、決して特定のサービスを対象としていたのでなく、ランダムなサンプルだけを対象としていました」

彼らは.onion アドレスを収集し、そのコンテンツの情報を引き出して、秘匿サービスを分類しようとした。

「私の調査対象は『悪質な秘匿サービス』に特定されています。私は、その内容(たとえば薬物をさせる流通、マルウェアを普及させるウェブサイトなど)によって、悪質な秘匿サービスを自動的に分類できる方法を開発しようとしています」と、ロドリゲスは『The Register』の取材に対して語った

「そうして我々は『ダークウェブには、どのような種類の悪質なウェブサイトが存在しているのか』に関する最新の統計が含まれた学術論文を発表したいと考えていました。さらに我々は、『ユーザーが特定の .onionのウェブサイトを訪問する前に、それが信頼できるものなのか、悪意を持ったものなのかを確認できるプラットフォーム』も開発する予定でした」

その研究チームは、秘匿サービスに関する特定のデータを収集するためにTorリレーをセットアップしていた。ロドリゲスは、収集されたデータを使ってTorユーザーの匿名性を奪ったり、あるいは秘匿サービスを運用しているサーバーを特定したりすることはできないということを明確に述べた。

「それ(チームが収集したデータ)は、その時点で利用されている秘匿サービスに関する情報(たとえば .onionアドレス、その流行、一部の技術的なデータなど)を提供するもので──それらのいずれを利用しても、いかなる形であれ、私が秘匿サービスを非匿名化したり、あるいは害を及ぼしたりすることはできません」と彼は説明した。

ロドリゲスは、彼らのチームのTorリレーをオンラインに戻すことができなくなった。いずれにせよ、異なる手法で研究は継続するつもりだと彼は語った。

「他の方法でも、秘匿サービスを見つけ出すことはできます」と彼は説明している。「しかし、それらの方法のいずれも(これまでの方法と)同じぐらいには有益でも効率的でもありません」
 
翻訳:編集部
原文:Tor relay of a Brazilian University was banned after harvesting .onions
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

ニュースのポイント(THE ZERO/ONE編集部より)

Torネットワークに構築されたダークウェブは、表層ウェブと違い、サイトの移転情報やネットワークの規模を計測することが、ネットワークの性質上難しい。そこでTorネットワークを構成しているリレーサーバーから、Torの全体像や利用者の秘密を暴こうとした動きは常にある。
昨年は、Torネットワークの出口に悪意のあるノードを設置して、通信を監視・改竄を行う「Tor HSDir」が報告され、話題となった。

今回の事件も、ブラジルのカンピーナス大学研究チームが、「.onion」のアドレス収集やサイト監視のため、同大学が管理するTorリレーサーバーからデータを集めたことが問題となった。研究チームはあくまでも調査の為にデータを得ていただけで、悪用目的ではないと弁明をしているが、そもそもTorプロジェクトの倫理ガイドラインに違反している行為だ。さらに、Torを利用するユーザーはその「隠匿性」を目的に利用するのであって、無断で第三者がデータを見ていたという事実に対しては、間違いなく怒りを覚えるだろう。

カンピーナス大学研究チームの手法はモラルに欠けていると言われても仕方ないが、効率よくダークウェブの情報を得ようとする組織は、どこも彼らと同じ誘惑にかられているはずだ。ダークウェブでは検索エンジンがあまり役に立たず、サイトが移転してしまうと新しい移転先が不明のものも多く、リアルタイムにダークウェブ上でどんな情報が活発なのかを知るハードルは高い。大学の研究チームはTorリレーサーバーから情報を抜かなくても、隠匿サービスを見つけることができると主張しているので、その方法がいったいどんなやり方なのか、大変気になるところである。




1年に1度 ラスベガスで開催されるハッカー達のお祭りアジア勢が健闘したDEFCON 25 CTF&PHVレポート

September 19, 2017 08:00

by tessy

今年もDEF CONがアメリカ・ラスベガスで行われた。25回目の記念となるDEF CON25は昨年までのバリーズ、パリスと2つのホテルが会場となっていたが、今年はシーザース・パレスに変更され、7月27日から30日までの日程で開催された。 筆者も今回で9回目の参加であり、会場も4つ目となる。初めてDE…

46万5000台のペースメーカーに存在した脆弱性(後編)脆弱性情報は投資会社に伝えるほうが「うまくいく」のか?

September 15, 2017 08:00

by 江添 佳代子

前編記事→死に直結する医療機器のセキュリティホール Abbott Laboratories(旧St Jude Medical)のペースメーカーの脆弱性を最初に報告したのは、米国のスタートアップのセキュリティ企業MedSec Holdings(以下MedSec)だった。その発見は当時、珍しい展開のセキ…