ダークウェブ闇市場「Dream」の匿名性は破られたか?

ダークウェブ」とは、インターネット接続を匿名化するソフトウェアの「Tor(トーア)」の機能の一つである「Hidden Service(秘匿サービス)」を使用して運営されているウェブサイトのことをおもに指します。秘匿サービスを用いて構築されたサイトの匿名性は非常に高く、第三者がそれらのサイトをホストしているサーバーの場所(IPアドレスなど)を知ることは非常に難しくなっています。

秘匿サービスの高い匿名性を利用して開設されたウェブサイトには、ハッキングやマルウェアに関する話題を取り扱うコミュニティや、違法薬物から銃器、ランサムウェアなどのウイルスまで出品されている闇市場、児童のわいせつな画像や動画が掲載されている児童ポルノサイトなど、法を無視したものもあれば、そうでない普通のものもあり、あらゆるコンテンツが入り混じっています。

しかしこの秘匿サービスの匿名性も完璧というわけではなく、運用方法によってはその匿名性が損なわれるおそれがあります。

かつて最大手の闇市場としてその名を馳せた「Silk Road(シルクロード)」も、サイトの画像認証に用いていたURLにサーバーの位置を特定できる情報が含まれていたことから、それを見つけたFBIによって結果的に摘発へとつながったと言われています。

そして、現在最大手の闇市場として君臨する「Dream Market (Dream)」にも同じ問題がいくつか存在していることがここ数ヶ月のあいだに判明し、大きな話題を呼んでいます。

Dreamは2013年に登場した、違法薬物をメインに取り扱っている闇市場です。2015年夏に起きた「Blackbank」の出口詐欺(利用者の預金を持ち逃げすること)と「Agora」の運営停止、2016年春には「Nucleus」の出口詐欺など、大手闇市場が次々と姿を消していくなか、今年7月に摘発された「AlphaBay」とともに2016年初頭から徐々に台頭していきました。

Dream Market
Dream Market

このDreamが指摘されている問題は、先述のシルクロードのケースと同様、秘匿サービスの匿名性に関わることで、具体的には、Dreamのサイトが運営されているサーバーのIPアドレスと思われる情報が見つかったことです。これは、ダークウェブのサイトにとって致命的な問題であり、サーバーのIPアドレスを隠さなければならないダークウェブ上でこれを漏らしてしまうことは、取り締まりを行う捜査当局などに捜査上の大きな手がかりとなる情報を与えてしまうことになります。

さらに、Dreamにおいてこの種の問題が発覚するのは一度のみならず、なんと三度にもわたってそれぞれ別の問題が明らかになっています。

初めに問題が発覚したのは、およそ1年前の2016年10月中旬ごろのことになります。

きっかけは、海外の巨大コミュニティ「Reddit」の数あるsubreddit(サブフォーラム)のなかでもダークウェブの闇市場について話し合う「DarkNetMarkets」で投稿されたこちらのスレッドです。その一部を引用します。

If you look at the JavaScript file at http://****difyeqm4ldjj [DOT] onion/market.js you see this line:

var debugUrl = “http://194.9.94.82/ajax?t=chat&c=buddies”

That IP is owned by a Swedish hosting company and behind that IP are hundreds of virtual hosts. One of them is the site http://speedstepper.se/

Now, this was too easy. But… what if..? SpeedStepper speaks German and English, but interesting… Could have possibility been put there as a distraction or the developer of that site was a moron.

Is this SpeedStepper from Dream Market? (possibly misleading) from DarkNetMarkets
https://www.reddit.com/r/DarkNetMarkets/comments/5873oq/is_this_speedstepper_from_dream_market_possibly/

投稿者によると、Dreamのサイトで使われているJavaScriptファイルの中身に 194.9.94.82 というIPアドレスのような文字列が記述されているとのことで、これがDreamで使われているサーバーのものではないかという疑惑が持ち上がりました。

DreamのIPアドレス漏洩(1)
DreamのIPアドレス漏洩(1)

2つ目の問題が見つかったのは今年の8月末で、こちらも同じくRedditのDarkNetMarketsで指摘されたもので、Dream本体とは別の公式フォーラムサイトで見つかりました。

Dream Market IP exposure after forum update : DarkNetMarkets
https://www.reddit.com/r/DarkNetMarkets/comments/6wum1y/dream_market_ip_exposure_after_forum_update/

DreamのIPアドレス漏洩(2)
DreamのIPアドレス漏洩(2)

もとの画像が少々荒いためわかりづらいかもしれませんが、赤線部分の Content-Location ヘッダにIPアドレス 196.44.177.237 が確認できます。これもDreamの所有するサーバーのものではないかと言われています。

3つ目は今年10月初頭、1つ目と同じくDreamのサイト内で見つかりました。

DreamのIPアドレス漏洩(3)
DreamのIPアドレス漏洩(3)

選択範囲内に 143.95.243.239 という文字列が確認できます。この画像認証に使われているとみられるURLをよく見ると、HTMLソース中にコメントとして記述されており、本来は隠しておきたかった情報であることが推測できます。

多くのセキュリティーリサーチャーやジャーナリストらも、この問題を取り上げてツイートしています。


セキュリティリサーチャーのlinkcabin氏による投稿。


セキュリティリサーチャーのx0rz氏による投稿(このDream疑惑のあるIPアドレスを発見したのは日本の @Sh1ttyKids です)。

さて、ここまでいくつかDreamが現在抱えている問題を見てきましたが、ここで情報の真偽に焦点を当てて考えてみたいと思います。これらの情報はすべて正しいのでしょうか?

私はすべてがそうだとは思いません。これらの情報のうちいくつかは、Dreamの運営者らによって故意に流された偽の情報であると考えています。

その理由の一つ目に、「ダークウェブにあるサイトのIPアドレスの漏洩は重大な問題であるにもかかわらず、その指摘に対して何の対応も行われない」という点があります。もし私がDreamの運営者であって、このような問題が発覚した場合はすみやかにサーバーの移転を行い、もとのサーバーに証拠が残らないようにディスク内は完全に消去してからサーバーを解約、ついでにホスティング業者に自分のアカウントを削除するよう要求するでしょう。しかし、Dreamがそれらの措置を行った形跡はありません。それどころか、運営者らはこれらの問題に対してユーザーからの質問にも回答せず、公式なアナウンスも何ひとつ行っていません。そのせいか、たびたびこの話題がDarkNetMarkets内で蒸し返されることも起きています(下記スレッド参照)。

[DreamMarket] IMPORTANT OPSEC ISSUE ! LEAVE MARKET RIGHT NOW !! : DarkNetMarkets
https://www.reddit.com/r/DarkNetMarkets/comments/6ojwht/dreammarket_important_opsec_issue_leave_market/

ただ、これに関してはもはや運営に対する姿勢の話であって、運営者らにとってこれらの情報に価値はなく、説明するほどのことではないと判断したのではないか、とも考えられます(例えば、明らかになったIPアドレスのサーバーは現在使われていないなど)。

そして2つ目の理由に、Dreamのものと思われるIPアドレスのその多くがURLの形式で見つかっていますが、これらのURLが示すとおりにファイルを設置することは不可能ではないかという点があります。

それが該当するのが1つ目と3つ目のURLですが、まず1つ目のURLに注目してみます。先述のJavaScriptファイルに記述されていたURLは以下のようになっています。現在、当該URLにアクセスすると、エラーが発生するだけでJavaScriptファイルが置かれていた形跡はありません。

http://194.9.94.82/ajax?t=chat&c=buddies

このIPアドレス 194.9.94.82 について調べた結果、スウェーデンのウェブホスティング会社「Loopia AB」が所有していることがわかりました。逆引きホスト名は iis12.windowscluster.loopia.se と設定されており、これはLoopia社の提供するWindowsの共有ホスティングサービス(レンタルサーバー)で使われているIPではないかと推測を立てました。

しかし私は、ここで一つ疑問を覚えました。これがLoopiaの共有ホスティングのIPアドレスで、Dreamの運営者がこのサービスを利用しているならば、そのサーバーの利用権限は一般ユーザーとして与えられるはずです(他の顧客も同じサーバーを利用するため)。しかし上記のようにIPアドレス直下でファイルを置くには、管理者権限が必要となります。これでは矛盾が生じます。

仮に、共有ホスティングではあるけども、Dreamが専用のIPアドレスを追加注文してそれを利用しているパターンか、あるいは一台のサーバーをまるごと専有したマネージドサーバーであるとしましょう。しかし、このIPアドレスには、他にも多数のウェブサイトがホストされていました [1], [2]。

こうなってくると、この状況を再現するには、サーバーを乗っ取って管理者権限を掌握し、ファイルを設置するなどといった非現実的な方法しか残らなくなります。それもありえますが、乗っ取りにかかるコストや急なダウンタイムへの対応などを考慮すると、乗っ取ったサーバーで秘匿サービスを運用することは非効率的であり、とても賢いやり方とは言えません。

さらに、この理由に該当するURLが1つ目と3つ目のIPアドレスであると書きましたが、後者についても言いたいことは同じです。つまり、 143.95.243.239 も共有ホスティングサービスで用いられているIP(アメリカのArxive社)であり、乗っ取りと仮定した場合は二つの共有ホスティングで使われているサーバーを同時に乗っ取ったことになります(なお、これらに二つのサーバーに共通する脆弱性などについては調べられませんでした)。

以上の点を考慮すると、これまでDreamの管理不手際によってあらわになったと思われていたセンシティブな情報は、実は作為的に仕組まれた、うその情報だったのではないかと考えられます。

サイバー攻撃においては、作為的に仕組まれたうその情報を流すことはそう珍しいことではないはずです。
例えば、ある国がほかの国へサイバー攻撃を行う際に第三国からの攻撃のように装ったり、大規模なマルウェア感染作戦などでは検体を解析される際の捜査をかく乱させるために、特定の国でよく使われる言葉を混入させる、などといったことです。

ダークウェブ上でハッタリをかけるような行為というのはあまり耳にしたことはありませんが、初めに書いたシルクロードが犯したミスから学んだDreamの運営者らが、当局の捜査をかく乱させる目的でうその情報を記述したとしてもおかしい話ではありません(実際に、画像認証のURLという方法がよく似ています)。
また、指摘を受けた問題点がこれだけ長いあいだ修正されていないにもかかわらず、Dreamが摘発される様子がないことも、情報が役に立たなかった根拠のひとつと言えそうです。

ダークウェブの調査を行う研究者や捜査当局などは、単純に手がかりとなる情報を見つけ出すだけではなく、うその情報に惑わされず、その真偽を明らかにすることも求められているのではないかということを、私はたまに考えることがあります。
当然ながら、今回の私の意見がまったくの的外れであることもありえます。真実が白日の下にさらされるまでは、それは誰にもわかりません。

投稿をシェア

“ダークウェブ闇市場「Dream」の匿名性は破られたか?” への6件の返信

  1. でもこんな撹乱ってする必要あるんですか?
    普通はつまらん仄めかしで匿名性がパーになんてほうが良く聞く話ですよね
    情報管理がしっかりしてればソフトの信頼性は確か、ならば沈黙を守るだけで充分ではないのでしょうか

コメントを残す

メールアドレスが公開されることはありません。