サイバー事件 裏の裏 - 第4回

サイバー事件の温床「ダークウェブ」は「独裁国家への対抗手段」を流用している

無料の匿名化手段「Tor」とサイバー犯罪の微妙な関係

文／三上洋

「ダークウェブ」というサイトがあるわけではない

三上　まず「ダークウェブ」とは、通常のインターネットからは直接アクセスできない隠れたウェブサイト群のことを指します。ダークウェブという名のサイトがあるわけではありません。主にTor（トーア）と呼ばれる接続方式でアクセスできるサイト群です。

　このダークウェブでは、不正アクセスに使用するマルウェアや、その不正アクセスで入手した個人情報、果ては薬物・武器など（少なくても日本では）真っ当に流通しない代物が取引されています。情報漏えいを起こした企業が「個人情報が漏えいした可能性はあるが、今のところ被害はない」と発表することがあります。しかし事件から少し経ってから、ダークウェブで流出したと思われるリストが販売されていたこともあります。

　では次に「Tor」とは何か？　簡単に申しますといわゆる“多段プロキシ”です。プロキシとはざっくり言えば中継サーバーのことで、セキュリティ対策にプロキシを利用している企業は珍しくないですよね。また、自国からは閲覧できない他国サイトを閲覧するためにプロキシを使う場合もあります。プロキシ自体は違法でもなんでもありません。そのプロキシをいくつもいくつも多段につなげてシステム化したものがTorです。

　多段につなげるだけでなく、ランダムにつなげることで接続ルートをわからなくする仕組みです。一種のブラックボックスと言ってもよく、このブラックボックスを通すことで、接続元の情報を隠せるのです。

　Tor自体は米国の政府機関で開発された技術ですけれども、その後、言論の自由を支援する組織である「電子フロンティア財団」が引き継ぎ、現在は非営利団体「The Tor Project」が運営しています。

　昨今、Torと言えば犯罪利用のみがクローズアップされていますが、たとえば国によってはインターネット利用が極端に制限されていたり、検閲と称して国中にファイアウォールが張り巡らされていて海外の情報を得られなかったりします。そんな場合でもTorを使えば、政府の規制を潜り抜けて情報を得られるわけです。つまり元々は、自由を脅かされている人々を支援する道具として生まれたものなのです。

　なおTorは、自分の個人情報を守るために有効な手段として知られるLinuxベースのOS「Tails」と共に使われることが多いですね。USBメモリーからTailsを起動し、その上でTorブラウザーを使うことで匿名性を十分に確保しながらPCを操れるのです。

Torは国家の検閲に対して身を守りながら抵抗する手段として開発された

三上　ここまでの解説から想像すると、とんでもなく大げさで難しそうなモノに聞こえますが、じつは使う方法は非常に単純です。一般的なWindows PCから使うのであれば、公式サイトから「Torブラウザー」をインストールするだけです。このTorブラウザーとはTorの多段プロキシ・暗号化・匿名化の仕組みをすべて導入済みのブラウザーだと思ってください。誰でもダウンロードできます。入手してそのブラウザー上で見聞きしたものは、IPアドレスで辿ることが非常に難しくなります。

　単純にダークウェブを覗くだけなら、“Torブラウザーをダウンロードするだけ”で準備はOKです。このTorブラウザー経由で見られるものとしては、日本語のものですと、お馴染みの2ちゃんねるのTor版「Onionちゃんねる」があります。Torブラウザーでしか見られない2ちゃんねるですね。また、Facebookも国によっては検閲されて見られないので、Torブラウザー上にもFacebookがあります。

――　それはFacebook側が提供しているのですか？

三上　はい。ですからTor自体に違法な要素があるわけではないのです。

――　P2P技術とWinnyの関係を彷彿とさせますね。一時期Winny上において著作権物が違法に流通していると話題になった結果、P2P技術ごと色眼鏡で見られるようになってしまいました。

三上　そうです。P2P同様、Tor自体はあくまでも技術であって、それ自体に悪意があったり、違法だったりするわけではないということです。あくまでも、独裁国家の検閲などに対して、個人が身を守りながら抵抗していくための手段なのです。

　ちなみに、たとえ民主主義国家に住む国民であっても、昨今はクッキーによって個人のウェブブラウジングは追跡を受けています。どこかである商品名を入力すると、その後しばらくは、あらゆるサイトの広告バナーがその商品で埋め尽くされます。我々の行動パターンが読み取られているわけですね。ですからプライバシーを守るという意味でもTorは必要なプロジェクトなのです。

「Torを使う犯人が逮捕された＝Torの匿名性が破られた」ではない

三上　Torを国内で一躍有名にしたのは、2012年に起きたPC遠隔操作事件でしょう。犯人は、他人のPCを遠隔操作して、掲示板に犯行予告などを書き込んだとされています。犯人はTor経由で掲示板に書き込んでいました。ほかにも国内ではウイルス売買でTorを利用した例があります。匿名性が高いと言われるTorを使っていても逮捕例はあるのです。

　ネット犯罪者の多くはTorのダークウェブ上で活動するか、もしくはTorを使った技術を流用していることが多いのですが、ここで疑問なのは「果たしてTorを使っていても捕まるのか？」ということです。

　まず、捕まりにくいことは確かです。捜査の結果、最終的にTorから来たというIPアドレスが入手できたとしても、その中をどう通っていったのかはわからないのです。そもそも、“さまざまなプロキシをランダムにつないでおり、ログも残っていない以上、足跡は辿れません”というのがTorの仕組みなのですから。

　世界中に点在するTorのプロキシサーバーを摘発し、それらサーバーと接続しているすべての通信会社側のログを丸ごとしらみつぶしにして1本の足跡を特定した上で暗号化も解く……まあ困難です。現実的に、Torのルートのみで摘発するのはたぶん無理でしょう。これが原則です。

　では警察はどうやっているのか。ひとつは出口です。最終的にTorから通常のインターネットに出てこなくちゃいけません。その出口を監視していればよい。たとえば出口となる“おとりサーバー”を作る。そのおとりサーバーさえ通ってくれれば、ログは取れる。実際、この“おとりサーバー”が使われたことで摘発できたとされている事件もあります。また、Torにつなぐ際にプロバイダーにはログが残るので、犯罪が行われた時間とTorに入った時間が一致している、といったことまでは辿れるかもしれません。

三上　でもこれらの作業はどちらも砂浜で釘1本探すような難易度です。Torでの通信を暴いて証拠にすることは、ぶっちゃけ私は無理だと思います。確かにTorを使った事件は摘発されています。「Torを使っていても捕まることがある」というような警察側のコメントも出ます。ただし、私の知る限り、国内事件では証拠としてTorの通信履歴が提出されたことはないはずです。

　PC遠隔操作事件の場合ですと、犯人はTorを使わず携帯電話から脅迫メールを送っていますが、その携帯電話を埋める現場を警察に発見されたことが逮捕のきっかけでした。

　つまり、ほとんどの犯罪はネットワーク内のみで完結しないのです。プラスアルファの部分がTorの外で起こる。警察はネット犯罪の証拠を見つけるために、ネット以外の部分をアナログな捜査の積み重ねでフォローしているのです。

　なお、Torが犯罪行為の温床となった背景にはビットコインの存在があります。ビットコイン登場までは、Tor内で完結する金銭のやり取り、要は“足の付かないお金”というものは存在しませんでした。それがビットコイン登場によって、“ほぼほぼ匿名化されたお金”というものが手に入るようになりました。つまり、ビジネスがやりやすくなったのですね。これがTorを使ったダークウェブ拡大の原因のひとつだと思います。