ランサムウエアやIoT(インターネット・オブ・シングズ)を手軽に悪用できるサービスを、一般の検索エンジンでは見つからない場所で取引するダークWeb。違法商品のやり取りも多いため、ダークWebのサーバー運用者の多くは、法執行機関によるサーバーの押収を恐れている。
実際に法執行機関によるダークWebのテイクダウン(壊滅)は続いている。例えば、2016年末に米連邦捜査局(FBI)は「Avalanche Criminal Network」のテイクダウン作戦を公表した。違法な取り引きをしていると認識しているWebサイト運用者は、法執行機関に個人を割り出されたと感じた場合、高い確率で証拠隠滅を図る。
もし、サーバーが押収されれば、顧客から関係者まで芋づる式に摘発されてしまうことは容易に想像ができるからだ。そのため、犯罪グループは可能な限り、証拠が残りにくい環境のサーバ構築を試みる。実はダークWeb上にはサーバー運用者を対象としたチュートリアルまでもが整理されている。
ダークWebのサーバー構成
例えば、サーバー構成では、いくつかのチュートリアルでは、次のような構成を推奨している。OSにはLinuxディストリビューションの一つである Ubuntu、仮想化技術にはLXC(Linux Containers)、HTTPサーバーソフトにはApache2。この環境上にTorのサービスを起動する仕組みだ。
ここで使うドメインの登録時には、足がつかないようフリードメインの利用を推奨しているものが多い。その他のサーバー構成を推奨するものもあるが、基本的には仮想環境を作成することを推奨している。
外部サービスを使う場合はどうだろうか。ホスティングやVPS(バーチャル・プライベート・サーバー)などの外部サービスを利用する際は、「ファイブアイズの調査が及ばない国や地域のサービスを使うこと」と多くのチュートリアルは教える。ファイブアイズとは、米国、英国、オーストラリア、カナダ、ニュージーランド間で結ばれているインテリジェンスアライアンスである。
ダークWeb運用者のセキュリティ意識は高い
なお、サイバー攻撃の請負業などのサービスを提供する場合には、別のチュートリアルがある。誰かが失敗したことにより、マーケット全体に迷惑がかかるといけない、といった配慮からだろうか。内容的に犯罪を助長する可能性があるため、本稿では割愛する。
ダークWebのサーバーのセキュリティレベルはどうだろうか。ダークWebのサーバー運用者はサーバーがハッキングされたら一巻の終わりと考えているのか、運用者のセキュリティ意識は非常に高い。例えば、2014年に公表されたOpenSSLの脆弱性「Heartbleed(CVE-2014-0160)」が騒がれた際は、ダークWebのユーザーアカウント情報が法執行機関に調査される可能性が高まったとのことで、多くのサイトで下図のような警告が掲載された。
この警告文から分かることは、サーバー管理者が自分のサーバーがハッキングを受け、それをモニタリングしていることを示している。通常、サイバー攻撃者側にいる彼らでも脆弱性が報告されると防御側に回っているのだ。
