ダークウェブとは何か？企業が行うべき情報流出への備え

「ダークウェブ」や「ディープウェブ」という用語はご存知でしょうか。
中には、現実離れした話、ある種の都市伝説のように考えている方もいるかもしれません。
しかし、ダークウェブは現実に存在するものです。

とはいえ、ダークウェブを勘違いしている人や正確に認識していない人もいるかもしれません。
そこでこのページでは、ダークウェブとは何か、どのような危険があるのか、企業が情報流出を防ぐためには何をすれば良いのか、などについて解説します。

私たちがネットで見ている情報は氷山の一角

私たちは日常的に、インターネットで検索すれば、世の中のほとんどの情報を入手できるような気でいます。
たしかに、一般的な情報ならほとんど手に入るかもしれません。
しかし、実は私たちがインターネットでアクセスできる情報は氷山の一角に過ぎません。

より奥深くにもっとたくさんの情報があり、これらは「ダークウェブ」や「ディープウェブ」と呼ばれています。
ダークウェブ、ディープウェブには表には出せない、つまり違法な情報も多く、特定の人のみがアクセスできるように情報が隠されているのです。

ダークウェブとディープウェブの違い

ダークウェブとディープウェブは似ていますが、別ものです。
どちらもインターネット上にある、一般の情報から隔離されている、という点では同じですが、平たく言うとダークウェブの方がより秘匿性の高い情報です。

まずディープウェブは、一般の検索エンジンからもアクセスは可能ですが、ダークウェブは、特殊な検索エンジンを使わなければアクセスできないようになっています。
たとえばディープウェブは、特定のコード、ID、パスワードなどを知っていれば、Googleなどの検索エンジンからもアクセスできるということです。
一方でダークウェブは、Googleなどの検索エンジンからは、どうやってもアクセスできないようになっています。
世の中の、どこかのサーバー上にデータが存在するという点では、ダークウェブもディープウェブも一般のサイトの情報も同じなのですが、アクセスの制限で違いがあるところが相違点です。

情報の内容としては一概に言えませんが、ダークウェブの方がよりアクセスが制限されている分、違法性が高いケースが多いです。
具体的にどのような情報があるのかは後述します。

ダークウェブで取り扱われている情報

ダークウェブには違法性の高い情報も多く取り扱われています。
具体的には、以下のようなものが挙げられます。

• 個人情報
• マルウェア作成のためのツールキット
• セキュリティの脆弱性に関する情報

まず個人情報については、個人がアプリにアクセスするための情報や、クレジットカード情報、連絡先などです。
これらの情報を売買して、買い取った側は個人のお金を盗んだり、迷惑メールを送りつけるなどの目的で利用します。
クレジットカードを勝手に使われたり、スマホやSNSのアカウントがハッキングされたりといった事件が起こっていますが、ダークウェブで売買された情報が事件につながっているケースもあります。

次に、マルウェア作成のためのツールキットは、プログラミングができなくても簡単にマルウェアを作れるものです。
マルウェアは悪意のあるソフトウェアで、パソコンを乗っ取ったり、個人情報を盗む目的で使われます。
マルウェアによる被害は毎年発生していますが、ダークウェブが絡んでいるケースも多いということです。

セキュリティの脆弱性とは、たとえばサーバーをハッキングする情報や、OSの脆弱性に関する情報などもあります。

ダークウェブで扱われている情報の価格

ダークウェブで扱われている情報の種類はいろいろありますが、世間で想像されているよりは情報の価格は低めです。
たとえば、個人情報は1件1,000円程度で売られていることもあります。
個人情報を購入して不正を働くにはリスクがあり、また情報自体はどれだけの人に売っても原価はかかりません。
そのため、比較的安価な料金設定になっているのでしょう。

仮想通貨がダークウェブを後押しした

ダークウェブでは、違法な情報が売買されているケースが多いということでした。
情報を売買するということは、買い手側が売り手側にお金を支払う必要があります。
しかし、お金のやり取りはたとえば裏金融のようなものはないので、一般の金融機関を使うケースが多いです。
つまり、ダークウェブでやり取りして取引情報を隠していても、決済で足が付いてしまう可能性があるということです。
実際、ダークウェブでの違法な取引が明るみになるきっかけは、決済であることが多いのです。
以前は、決済で足が付くことが懸念事項だったのですが、現在は仮想通貨での売買が可能になっています。
仮想通貨で売買すれば足が付きにくいため、結果的に仮想通貨がダークウェブ市場を盛り上げることになったのです。

企業が行うべき情報流出への備え

企業から情報が流出すれば、ダークウェブで取引される可能性があります。
このような自体を防ぐためには、どうすれば良いのでしょうか。
具体的にご紹介します。

情報を社外に持ち出さない

古典的でアナログに近い対策ではありますが、情報を社外に持ち出さないことは非常に重要です。

たとえばパソコン本体を持ちだす、USBに情報を入れて持ち出す、といったことを避けなければならないのはもちろん、ファイル共有ソフトにアクセスするようなことも避けるべきでしょう。
他には、アダルトサイトなどには、ウイルスが仕込まれていることが多いため、会社のパソコンから、アダルトサイトにアクセスするようなことは避けるべきでしょう。

結局のところ、ダークウェブでやり取りされている情報も、その多くは普段私たちが利用しているネット上から盗まれたものです。
ダークウェブには、機密情報が多く私たちが見ている情報は、氷山の一角と説明しましたが、ダークウェブは個人情報に近いために一般に出回っていないというだけです。
中には、軍事機密などもあるようですが、これもある意味、個人情報に近いものです。
そのため、ダークウェブに情報を流出させないためには、情報を盗まれないようにすることが鉄則です。

不用意にファイルを開かない

メールで送られてきたファイルや、ネット上にあるファイルを不用意に開かないことも重要です。
パソコン内でファイルが実行され、パソコン内にある個人情報が盗まれます。
もちろん企業の情報も対象です。

他にも、自分の使用しているパソコンが踏み台にされ、犯罪に使われるケースもあります。
踏み台とは、あるパソコンから他のパソコン経由で処理を行うことです。
踏み台を使うことで足が付きにくい、踏み台にされたパソコンの保有者に罪をなすりつける、といった目的があります。

まとめ

ダークウェブは一般の検索エンジンからはアクセスできない、隠された世界です。
都市伝説のように語られることもありますが、実在するものです。
主には個人情報、マルウェア、などの取引の場として使われていて、仮想通貨がダークウェブ市場を後押ししています。

ダークウェブに情報を流されないようにするためには、通常のインターネットから個人情報を盗まれないようにすることが鉄則です。
つまりダークウェブ専用の対策があるというわけではなく、基本的な個人情報保護を徹底することが重要ということです。