Torの謎を解き明かす

エドワード・スノーデン氏の機密漏えい事件をきっかけに認知度が高まったTor。その仕組みやサイバー犯罪者の温床となっている側面について解説します。

tor

The Onion Router

ダークネットのリソースの1つであるThe Onion Router(Tor)は、以前からその存在が知られていました。当初は、ネットワークにおける実用的な匿名化技術の詳細に関心のあるエキスパートやマニア(または暗号の愛好家)にしか知られていませんでしたが、エドワード・スノーデン(Edward Snowden)氏による機密漏えいの後は、多くのインターネットユーザーがこのようなオンラインの匿名性を求めるようになり、Torが大きな注目を集めました。

Torとは

Torは基本的に規制されておらず、無料で使えるソフトウェアで、インターネットに接続して動作します。Torを通じ、サイトへのアクセス、フォーラムでのメッセージのやりとり、IMSでのコミュニケーションなどが行われています。こうした点では「一般的な」インターネットと変わりませんが、1つ大きな違いがあります。Torは、ユーザーがインターネット上で活動しているときに匿名性が守られるという点で、他にはない存在なのです。ネットワークトラフィックは完全に匿名です。TorでユーザーのIPを確認することはできず、そのためユーザーが現実世界の誰なのかを特定することはできません。したがって、どんな行為も(たとえばTorで記事を投稿するなど)特定の個人と結びつけることができないのです。

Torは、何らかの理由で監視や機密情報の漏えいを恐れる人にとって有用なソリューションになりました

「普通の」インターネットと同様に、TorでもたいていのWebリソースを作成することができます(Kaspersky Labのエキスパートは2月に、稼働中の秘密のオンラインサービスを約900件ほど発見しました)。しかし、従来型のインターネットでは各サイトのドメイン名によってサイトの所有者とその所在地を特定できるのとは異なり、Torはいわゆる疑似ドメインを使うことで、リソース所有者の個人情報の特定を困難にしています。

Torの匿名性の仕組み

匿名リソースの作成を可能にしているのは、「ノード」と呼ばれるサーバーの分散ネットワーク、つまり、タマネギの皮のように幾重にも重なって動作するルーターです(これがThe Onion Routerという名前の由来です)。すべてのネットワークトラフィック(つまりすべての情報)が、Torへ向かう途中、複数のネットワークノードを通過する際に何度も暗号化されます。さらに、どのネットワークノードにも、トラフィックがどこから来てどこへ向かうのか、どんな内容なのかという情報はありません。これにより非常に高いレベルの匿名性が確保され、ネットワーク活動の裏にいる人物、つまり実在する個人を特定できないようになっています。

Torを必要とする人

Torは、何らかの理由で監視や機密情報の漏えいを恐れる人にとって有用なソリューションになりました。しかし、正規のユーザーだけでなく、サイバー犯罪者も関心を寄せています。Torネットワークは、違法な活動を実行するためのリソースを大量にホスティングしていることが以前から知られています。

ダークネットの市場

サイバー犯罪者のフォーラムや市場はインターネット上に無数に存在します。このところ、Torがアンダーグラウンドの市場として台頭してきました。悪名高いSilk Roadから始まって、いくつもの専門的な市場へと発展し、薬物や武器、そしてもちろんマルウェアが売買されるようになっています。

ダークネットにはカードショップが深く根を下ろしており、盗まれた個人情報が、居住国や銀行といったさまざまな検索属性とともに売られています。このような形で顧客に提供されるのはクレジットカード情報だけではありません。ダンプ情報、スキマー、カード情報の読み取り装置なども販売されています。

簡単な登録手続き、業者評価、サービス保証、使いやすいインターフェイスといったものは、Torのアンダーグラウンド市場の標準機能です。一部には、取引を開始する前に、販売者に担保(一定の金額)を差し出すように求める店舗もあります。これは誠実な業者とだけ取引を行い、その業者のサービスが詐欺や低品質のものでないことを保証するためです。

TorとBitcoin

Torの発展と時期を同じくして、匿名の仮想通貨であるBitcoinが台頭してきました。匿名の通貨を匿名の環境で使うことで、サイバー犯罪者の追跡が事実上不可能になってしまう恐れがあります。

Torを活用するマルウェア

サイバー犯罪者は、悪意あるインフラストラクチャをホストするためにTorを積極的に活用するようになりました。Kaspersky Labのエキスパートは、Tor経由で活動する機能を備えたZeusを発見した後、ChewBaccaを検知し、初のAndroid向けTorトロイの木馬を解析しました。Torネットワークのリソースをちょっと調べるだけで、C&Cサーバーや管理パネルなど、マルウェア専用のリソースがいくつも見つかります。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?