「ダークウェブ」に現れた闇市場がわずか2週間のうちにハッキングされ情報流出する事件が発生

インターネット接続の匿名化を行うソフトウェア「Tor」の機能で構築された空間「ダークウェブ」には、その匿名性に目を付けたサイバー犯罪者らが開設した違法なサイトが数多く存在しており、そこにはレベルの高いハッカーが巣食っているイメージが強いですが、なんとあるウェブサイトが登場からわずか2週間も経たないうちに謎のハッカーによってハッキングされ、情報が流出するという事件が発生しました。

ハッキングされたのは「Trishula Market」という名前のサイトで、ブラジル人向けに開設された闇市場(ブラックマーケット)です。管理者は掲示板サイトRedditで「TheBackWho」と名乗るユーザーで、2週間ほど前からブラジル人用のダークウェブ闇市場についてのsubreddit(2ちゃんねるで言う板)で、自身が開設した闇市場サイトのURLを公開しては宣伝を繰り返していました。

当時、サイトはまだ正式公開前でベンダー(販売者)の募集を行っていました。公開を今月末に決めていたようで、日本時間で今月16日の23時ごろにはダークウェブのニュースサイト「DeepDotWeb」に自身のサイトが取り上げられたことを嬉々として報告し、これからブラジルの闇市場を盛り上げていくという意思が感じられました。

「Trishula Market」管理者の投稿
「Trishula Market」管理者の投稿

ところがこの数時間後の翌日、突如「Xinox」と名乗るハッカーがTwitterにてTrishula Marketから流出したデータと思しきファイルへのリンクをツイートします。

ハッカーが流出ファイルへのリンクをツイート
ハッカーが流出ファイルへのリンクをツイート(一部加工済み)

このファイルにはTrishula Marketのデータベースに侵入し、データをダンプしたSQLファイルが含まれていました。

Trishula Marketから流出したデータ
Trishula Marketから流出したデータ(一部加工済み、クリックで拡大)

これらは特定データベースの全テーブルのデータで、その中にはサイト内で出品されている商品データなどの基本的な情報から、サイト内のメッセージ機能でのやりとりの内容、ユーザーのメールアドレスや暗号化されたパスワードなどのセンシティブな情報まで含まれていました。さらに興味深いことに、データの177行目(画像参照)にはダークウェブで悪名高いフィッシング詐欺師「PhishKingz」の情報も見つかっています。このPhishKingzは今月15日に出口詐欺を行ったとされている別の大手闇市場「TradeRoute」の一件にも関与しており、それについては別の記事でまた取り上げたいと思います。

そしてこの約2時間後、大部分のダークウェブ闇市場の利用者が集うsubredditの「/r/DarkNetMarkets」にも「Trishula Market – the first Brazilian DarknetMarket, was hacked on its first day.(ブラジル人のダークウェブ闇市場「Trishula Market」が初日にハッキングされる)」というスレッドが立てられ、痴態を晒した管理者に対し住人からは嘲笑の声が上がりました。

しばらくして、サイトの宣伝が行われていた前述のブラジル人中心のsubredditに「Trishula Market: nosso sonho acabou!!!(私たちの夢は終わった!!!)」というスレッドが管理者自身によって立てられ、甘いセキュリティでダークウェブ闇市場の業界に参入した自身の行為を悔やむ内容の文章が投稿されました。

このスレッドでは /r/DarkNetMarkets とはまた違った反応があり、あるユーザーからは「自分の何が間違っていたかこの状況で見つけ出せたと思います。もしまたやり直すつもりがあれば、より強固で安全なサイトにしてください。」といった激励の言葉もあれば、管理者らの次のプロジェクトに期待する声も上がりました。

このように反応に差が表れるのは、英語圏と比べてブラジル国内のダークウェブ闇市場の勢いがないという現状がある中、それを打開すべく奮闘した管理者に対し、同じブラジル人として同情の念を抱いたからではないでしょうか。

ここで、Trishula Marketのセキュリティがどれほどのものだったのか、少しだけ見ていきましょう。

現在はサイトがダウンしているため、サイト自体がどのような構成だったのか確認することはできませんが、ここでShodanに頼りたいと思います。Shodanを簡単に説明すると、インターネットにつながっているあらゆる機器で動いているサービスの検索エンジンです。これによると、Trishula MarketのサーバーのIPアドレスは 142.44.188.23 であり、ウェブサーバーにIISが使われ、リモートデスクトップのポートも空いていることがわかります。

IISとRDPについては個人の趣向とも言えるので特にありませんが、他にひとつ大きな問題点があります。それはこのダークウェブのサイトがリモートからアクセスできてしまうことです。これは特に致命的な問題で、ダークウェブのサイトはTorの匿名性を利用してサーバーのIPアドレスを隠して開設しているわけですから、そのIPアドレスが知られてしまうことなどあってはならないことです。捜査機関なども常日頃からダークウェブの闇市場などには目を光らせており、サーバーの位置が判明すれば場合によっては現地まで赴いて機器を押収します。そのリスクがある以上、匿名性を失ったダークウェブのサイトを利用したがるユーザーはもはやいません。

こうして信用を完全に失ったTrishula Marketは、サイトは永久に閉鎖されDeepDotWebのリストからも姿を消し、とあるブラジル人の夢は完全に消え去ることになりました。

初めに書いたように、ダークウェブにはレベルの高いハッカーが巣食っているイメージが強いですが、そこでは常に姿の見えない敵からの攻撃があり、犯罪者ですら獲物になりかねないという混沌とした世界が広がっているのです。

投稿をシェア

“「ダークウェブ」に現れた闇市場がわずか2週間のうちにハッキングされ情報流出する事件が発生” への4件の返信

    1. おもに違法薬物です。他には銃などの武器、デジタル商品だとクレジットカード情報、ウイルスまであります。

  1. 最近ブログ見始めてブログ主さんすげーなって思ってます。自分も詳しくなって悪いサイト潰したいですね。まとめブログの潰し方とか知りたいです。

    1. それに関してはいろいろ言われていて私自身も嫌悪していた時期はありましたが、まとめブログというもの自体が合法的なビジネスとして確立されている以上、有効な手段はないでしょう。
      それはそれとして、COPYTRACKのようなサービスは良いと思います。

コメントを残す

メールアドレスが公開されることはありません。