海の向こうの“セキュリティ”

アジアの「ダークウェブ」事情/CVSS基本値だけで判断してはいけない

アジアの「ダークウェブ」事情

 近年、違法薬物の売買や児童ポルノなど、さまざまな犯罪に使われているとして「ダークウェブ(Dark Web)」という言葉が一般のメディアにも取り上げられるようになってきています。そのような中、米セキュリティ企業IntSightsは、ダークウェブに関するアジアの状況を主に欧米と比較する目的で調査した結果を発表しました。調査対象は日本、中国、韓国、インドネシア、ベトナムの5カ国です。特に日本と中国に関しては多くのページを割いて詳細に解説しています(他の3カ国はそれぞれ1ページのみ)。なお、この調査結果は8月に開催された「Black Hat USA」でIntSightsのItay Kozuch氏によって発表されています。

 結論としてIntSightsは、アジアにおけるダークウェブ利用は欧米と比べて少ないものの、脅威のレベルが低いわけではなく、何らかの政治的な動機などによって大きな脅威になる可能性は十分にあり、アジア各国のそれぞれの現状や背景を把握しておくことはセキュリティ専門家にとって重要だとしています。今回の調査では、アジアの状況が欧米と異なっているだけでなく、それぞれの国による違いも明らかになっています。

日本

 最も特徴的なのは、犯罪とは無関係の普通の日記やブログを匿名性を確保する目的でダークウェブ上で公開している利用者が多いという点で、これは少々驚きのニュアンスで紹介されています。

 もちろん、犯罪にも使われており、麻薬や児童ポルノが最も多いようです。また、その特徴として、欧米に比べると売り手側が丁寧で礼儀正しく(敬語が使われている)、買い手が満足しなかった場合には返金までしてくれるとのことで、この点には複数のメディアが注目しています。

中国

 中国政府による検閲によってダークウェブへのアクセスが制限されていることから、人口に比べてダークウェブの利用者はとても少ないようです。また、欧米ではダークウェブを使って行われるような犯罪行為を普通のウェブ上で堂々と行うケースが多く、その場合には隠語やコードネームを使うことで政府による検閲を回避しています。一方、中国のネット犯罪者と政府の関係は興味深く、互いに助け合っている一方で、政府とぶつかることがあれば政府は犯罪者らを妨害し、検閲し、起訴するためならいかなることもするのだそうです。これらの一連の背景には、政治体制に反することさえなければ、政府は「経済活動」に干渉しないという自由放任主義(laissez-faire)もあるとKozuch氏は指摘しています。

 ダークウェブに限らず、中国のインターネット上で行われる犯罪として多いのは以下の5つ。

  1. 薬物
  2. 文書偽造(偽のパスポートやID、偽の卒業証書、学業成績の改ざんなど)
  3. データ販売(個人情報、企業データ、財務データなど)
  4. サイバーセキュリティツールおよびサービス(DDoSサービス、エクスプロイト、マルウェア、ハッキングチュートリアルなど)
  5. その他(児童ポルノ、人の臓器など)

 また、中国の特徴として、自国を守るためであればサイバー攻撃を厭わない「サイバーナショナリズム」をトップに挙げており、この点は他のアジアの国々と異なる点の1つとしています。

韓国

 人口に比べてダークウェブの利用者は少なく、そのほとんどは犯罪目的であり、活動は年々活発になってきているようです。ダークウェブ上で最も多く行われているものは以下の4つ。

  1. ブラックマーケット(麻薬やクレジットカード情報が多い)
  2. 児童ポルノ
  3. Hidden Wiki
  4. ハッキングフォーラム

インドネシア

 ダークウェブの利用者はとても少なく、中国と同様、普通のウェブ上で堂々と違法行為をするケースが多いようです。ダークウェブ上で最も多く行われているものは以下の4つ。

  1. 麻薬
  2. 児童ポルノ
  3. 違法賭博(※インドネシアでは賭博やカジノゲームはそもそも違法)
  4. ハッキングフォーラム

ベトナム

 政府による検閲が行われるようになったことで、それまで普通のウェブ上で活動していた犯罪者らがダークウェブに移行しているようです。ダークウェブ上で最も多く行われているものは以下の3つ。

  1. 麻薬
  2. 暗号通貨交換サイト
  3. 児童ポルノ

 特徴として、ダークウェブ上で最も多く用いられている言語が英語であるという点が挙げられています。これは、政府や法執行機関の監視の目を逃れ、できるだけ多くの顧客にリーチするためとのことです。

 今回は概要のみの紹介でしたが、日本と中国に関しては多くの調査結果が掲載されていますので、興味のある方は報告書の原文をご覧ください。

CVSS基本値だけで判断してはいけない

 日々、膨大な数の脆弱性情報が公開されている昨今、脆弱性の深刻度を示すCVSS値(厳密には基本値)を使ってパッチ適用の優先順位や適用のタイミングを決めている企業や組織は少なくないと思います。そのような中、米セキュリティ企業Recorded Futureは自社のブログにおいて、CVSS値として深刻度がMediumやLowなど低めに分類される脆弱性は、一般的にパッチ適用が遅れる傾向があることから実際の攻撃に悪用されることが少なくなく、現実の脅威としてはもっと高く見積もるべきであり、CVSSの値だけで判断すべきではないと指摘しました。ブログの中では、実際に攻撃で悪用された脆弱性をCVSS基本値で分類した結果と、Recorded Futureが独自に計算した深刻度を比較して説明しています。

 CVSS基本値は、個々の脆弱性固有の深刻度を示すものでしかなく、攻撃者が実際にその脆弱性を悪用するか否かは深刻度に必ずしも依存しないのは当たり前と言えば当たり前の話で、今回のRecorded Futureの指摘自体は特に驚くようなものではありません。ここで強調したいのは、実際の運用としてCVSS基本値に頼らざるを得ないのは致し方のないことではあるものの、それでもCVSS基本値を絶対視すべきではないという点です。

 そもそも実際に運用しているシステムに対する深刻度として見るべきは、基本値ではなく、対象システムのセキュリティ要求度や環境条件を加味した「環境値」であり、本来それは対象システムごとに利用者側で計算しなければなりません。もちろん、全ての脆弱性に対して環境値をいちいち計算するというのは実際の運用において現実的ではないですし、また、環境値が高いからと言って必ずしも攻撃に悪用されるとは限らず、環境値が低ければ攻撃に悪用されないというわけでもないので、その点では基本値と変わりはありません。それでも、CVSSには基本値以外に「環境値」(他に「現状値」も)というものがあることだけでもまずは知っていただき、基本値はあくまで「判断材料の1つ」に過ぎないと捉えて欲しいのです。

 一方、Recorded Futureは結論として「threat intelligence」の重要性を説いているのですが、理想が高すぎて一般企業では結局「CVSS基本値が高かろうが低かろうが、パッチはさっさと適用すべし」という話にしかなりません。しかし、だからと言って今回のRecorded Futureによる指摘が無意味というわけではありません。今回の指摘のあるなしに関係なく、セキュリティの観点から言えば、そもそもパッチ適用可能性の高い(=パッチを適用しやすい)システムの設計・構築が必要なのは当たり前。にもかかわらず、それが「常識」とまではなっていないことが問題であり、今回の指摘が「パッチ適用可能性の高いシステム」の重要性に対する認識を広める良いきっかけになることを期待しているのです。もちろん、「パッチ適用可能性の高いシステム」も簡単に実現できるものではありませんし、ただの「理想論」と考える方もいるかと思いますが、それでも、そこに近づけるための努力や工夫をすべきということはもっと広く周知されてしかるべきでしょう。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。