サイバー犯罪におけるTorの役割

前回の投稿で、ディープWebのレイヤーについて考察し、匿名化テクノロジー(Torなど)が違法な闇市場をどのように助長しているかという概略を説明しました。  今回の投稿では、Torがどのように機能し、それによってインターネット上でどのように匿名性が実現されるのか、その概念を説明します。

Torとインターネットの匿名性の概要

インターネット上で匿名性が実現される仕組みを理解するためには、まず、インターネット上の一般的なアクティビティではIPアドレスによってIDが開示されるということを理解する必要があります。  たとえば、あるWebサイトに接続しようとする場合、私たちはそのサイトをホストしているサーバーに対して、コンテンツのリクエストを自分のIPアドレスとともに送信します。 すると、そのサーバーはそのIPアドレスをリターン アドレスに使用してコンテンツを返送します。  このアドレスによって、地理的な位置や接続を提供しているISPなど、私たちに関する何らかの情報が開示されることがあります。  またISPも、どのIPアドレスが誰に割り当てられているかというログを常に保持しています。  そのため、インターネットのトラフィックを監視する者(とりわけ、政府機関)は、大半のインターネット トラフィックに関わる当事者を簡単に特定できます。  一般的なネットサーフィンは匿名ではないのです。

では、どうすれば匿名になるのでしょうか?

匿名性を実現する1つの方法は、暗号化です。現在多くのサイトでは、ユーザー データやその他のコンテンツがインターネット内を移動するときに暗号化プロトコル、SSL(Secure Sockets Layer)を使用してそれらを保護しています。SSLは暗号化プロトコルの中で最も広く利用されています。 SSLを介して接続されていることを示すものの一例が、「https://」で始まるURLです。  これはオンライン ショッピングなどのアクティビティではすっかり定着しています。私たちは、クレジット カード番号など個人が特定される情報を保護したいと考えているからです。 しかし、暗号化すると転送されるコンテンツは隠せますが、通信やその通信に関わった当事者の記録は隠せません。  つまり、通信の内容はわからないが、いつ誰と通信したかはわかるということです。

二者間でインターネット通信が行われたことを隠すためには、一方の当事者が「中継」コンピューター、つまりプロキシ サーバーを使用すればよいのです。

たとえば、Ashleyはcnn.comにアクセスする必要があるが、アクセスしたことは隠したいという場合を考えてみましょう。 このような場合、Ashleyは自分のコンピューターからのリクエスト(cnn.comへのアクセス)をCNNサーバーに直接送信するのではなく、プロキシ サーバーに送信するように設定できます。 プロキシ サーバーは、このリクエストを受け取るとそれをCNNサーバーにリダイレクトしてサイトのコンテンツを取得し、そのコンテンツをAshleyに返送します。 このようにすることで、他者(彼女の雇用主、ISP、その他偶然ネットワーク トラフィックを監視していた者)は彼女がプロキシ サーバーに接続したことはわかっても、CNNに接続したことはわかりません。 このプロキシ サーバーのトラフィックが監視されていると、さまざまなユーザーからさまざまなWebサイトへ多くのリクエストがあったことは明らかになりますが、個々のユーザーが何をしていたか、具体的にはわかりません。ただし、調査担当者がプロキシ サーバーのログへのアクセス権を持っていれば、AshleyのIPアドレスと彼女がリクエストしたサイトのIPアドレスが突き止められる可能性はあります。 したがって、この例ではある程度の匿名性は実現されますが、完璧ではありません。

そこで登場するのがTorです。そして次のような疑問です。 Torとは何でしょうか?どのようにしてオンラインの匿名性を保持するのでしょうか?

Torは「The Onion Router」の頭字語で、Web上の匿名性を促進する無料のプラットフォームです。Torを使用するとWebトラフィックの送信者と受信者の双方が匿名になります。このプラットフォームには次のような2つの独自機能があります。

 

    1. すべてのWebサイトへのアクセスが匿名になり、誰がどのWebサイトを閲覧しているかを見極めることが不可能になります。

 

  • Torを使用せずにアクセスを試みるとブロックされるWebサイト(「秘匿サービス」)に、アクセスできます。

 

 

Torでは、いわゆるOnion Routingを使用してユーザーの匿名性を実現しています。Onion Routingはトラフィックを暗号化して、それを中継コンピューターのネットワークを介してランダムに転送します。  中継コンピューターはそれぞれ独自の暗号化レイヤーを使用し(これが「玉ねぎ」にたとえられる理由)、匿名性を確保します。

このシステムが機能する仕組みを説明するにあたって、まず、玉ねぎのたとえを何重にも重なった封筒に置き換えてみましょう。

あるクラスの学生であるDavidが、秘密のメモをJamesに渡したいとします。Davidは、誰がそのメモを渡したかをJamesも含め誰にもわからないようにする方法を考え出そうとします。  どうすればそんなことができるのでしょうか? 彼のアイデアをいくつかのステップに分けてみます。

 

    1. Davidは1枚の封筒を取り出してJames宛のメモをその中に入れ、さらその封筒を、三重にした別の封筒に入れていきます。

 

 

 

    • Davidは、メモが入った一番内側の封筒に「Jamesへ」と書きます。

 

  • その封筒が入った次の封筒には、「Richardへ」と書きます。

 

 

  • 最初の封筒と2番目の封筒が入った3番目の封筒には、「Maryへ」と書きます。

 

 

  • 一番外側の封筒には、「Claudiaへ」と書きます。

 

 

宛名はどれもDavidのクラスにいる学生たちの名前で、Davidがまったくランダムに選んだものです。

 

    1. 次に、DavidはClaudiaのところに行き、Tanya(やはり同じクラスの学生)から「Davidへ」と書かれた封筒を受け取り、開けてみたらClaudia宛だったので持ってきた、と紛らわしく伝えます。Claudiaは自分宛の封筒を開け、そこにMary宛の封筒が入っていることがわかると、その封筒をMaryのところへ持っていきます。次にMaryはRichardに封筒を渡し、Richardが最後の封筒をJamesに渡します。 Jamesは自分宛の封筒を開けてメモを読みます。

 

 

 

    1. このようにすると、その手紙を送ったのがDavidだということはDavid以外の誰にもわかりません。彼は完璧に匿名です。Claudiaでさえも、手紙の発信者が誰であるかは知りません。なぜなら、DavidはTanyaから封筒を受け取ったとClaudiaに言っているからです。また、最初は何通の封筒が入っていたのか、または自分宛の封筒を受け取るまでに何通の封筒が開封されたのかということも、誰も知りません。それぞれの人が知っているのは、自分が誰から封筒を受け取り、誰に封筒を渡したかということだけです。

 

ではこのたとえを、Torが動作する仕組みに当てはめてみましょう。

 

    • メモは、エンド ユーザーがWebサイトのコンテンツを取得するためのリクエストにあたります。Torを介してネットサーフィンを行うときに匿名性が維持されるようにするためには、このリクエストが送信されたWebサイト(つまりJames)をホストするサーバーも含め、誰からもリクエストが隠されている必要があります。

 

  • 学生たちは、Torネットワーク内のコンピューターに相当します。Torを使用する各コンピューターは、Davidの玉ねぎを次々に渡した学生たちと同様、別のコンピューターから転送されたメッセージをそこで止める役割を果たします。

 

 

  • 各封筒は暗号化レイヤーに相当します。各暗号化レイヤーを復号化できるのは、特定のコンピューターのみです(封筒に「Claudiaへ」と書かれていたら、その中身を読めるのはClaudiaだけです。同様に、各ステージでメッセージを復号化できるのは、指定された特定のコンピューターのみです)。

 

 

  • リクエストを受け取ったWebサイトのサーバーは、その逆の経路をたどってWebサイトのコンテンツを返送します。最後に、コンテンツはDavid(Webサイトのコンテンツをリクエストした人)に届きます。

 

 

  • 各コンピューターが把握しているのは、メッセージをどこから受信し、どこに送信したかということだけだという点に注意してください。これが匿名性を維持する仕組みの基本です。

 

 

  • 最初と最後のコンピューター(リクエストの送信者と受信者)を除き、経路上のすべてのコンピューターはプロキシ サーバー(「仲介サーバー」)の定義を満たしています。

 

 

1台のプロキシ サーバーを使用する場合と、Torのように複数のプロキシ サーバーで構成される経路を使用する場合の違いは、仲介サーバーがプロキシ サーバー1台だけでは関連するすべての情報がそのサーバー上にあるため、匿名性が損なわれやすいという点です。

また、Torを使用するとWebサーバーの匿名性も実現できます。Torのユーザーは誰でも匿名で隠れたWebサイトをホストできます。このサイトには、英数文字がランダムに並んで最後に.onionという拡張子がついたアドレス(例:http://s36gxb6xjm662juk.onion)が割り当てられます。

最初に挙げた「一般的な」例をもう一度見てみましょう。CNN.comにリクエストを送信すると、実際には使用しているコンピューターがDNSサーバーに照会してCNN.comの実際のIPアドレス宛にリクエストを送信するため、そのコンピューターから直接リクエストを送信できます(ただし、そのサイトがどこで誰によってホストされているかということは、やはり開示されることになります)。

一方、TorでホストされるWebサイトは、そのサイトのIPアドレスを介してアクセスされることがないため、サイトの場所は開示されません。このようなサイトには、先ほど概要を説明したシステムを使用し、匿名のonionアドレスを介してアクセスします。

.onionサイトには、Torを使用しないとアクセスできないのです。

Torの主なユース ケース(違法な用途)

Torは、インターネット上で匿名を維持したいあらゆる人に利用されています。  しかし匿名性を実現するためにはパフォーマンスが犠牲になります(ブラウジングの速度は、上述のように経路にある他のコンピューターに依存するからです)。  また、悪質なコンテンツを取得するリスクも高まります。

Torは合法的なアクティビティと違法なアクティビティのどちらを行う場合にも利用できますが、Torの使用で圧倒的に多いユースケースは次のようなものです。

 

    • 盗んだ金融取引データ(クレジット カード)の取り引き

 

  • 金融詐欺

 

 

  • 違法な性的コンテンツ

 

 

  • 検閲の回避:禁止されている政治活動、ブロックされているサイトの閲覧(ロシアや中国など)

 

 

  • 薬物の不正取り引き

 

 

  • 賭博

 

 

  • 盗品の販売

 

 

  • 匿名のインスタント メッセージング

 

 

RSAの不正アナリストは継続的にダークWeb上のアクティビティを監視して組織とコンシューマーの脅威に関する情報を収集し、その情報を、影響を受ける当事者と積極的に共有しています。  また、RSAは警察に協力することや、オンラインの安全を維持する方法についての情報をコンシューマーに提供することにも力を入れています。

Twitterの@RSAFraudでEMCをフォローしてください。

この投稿はFraudAction Research Labsのシニア インテリジェント アナリスト、Idan R.によるものです。

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

No Comments