ダークウェブ上の闇取引サイトの設定ミスでIPアドレス漏洩。日本人セキュリティ研究者による報告
今年の夏、ダークウェブ上にある闇取引サイト、AlphaBay, Hansa, RAMPがアメリカ、オランダ、ロシアの法執行機関に摘発された事は記憶に新しい。
以上のダークウェブ・ポータルは、経験の積んだプログラマによって作り込まれていたので、ベンダはクリックのみで違法商品を出品できた。
AlphaBay等のダークウェブ・ポータルが閉鎖した事で、それまでポータルを使っていたベンダは、Dream Market、Valhalla、Wall Street Market等のポータルに流れたようだ。
他にも、TelegramやXMPP等のオンライン・メッセージング・プラットフォームに流れたベンダもいる。
実は、他サイトに流れず、メッセージアプリも使わずに自前で販売サイトを開設したベンダもいるのだ。
しかしその多くのベンダが作成したサイトには設定ミスが存在するケースが後を絶たず、サーバーのIPアドレスが漏れてしまっている事も多い。
サーバーのIPアドレス情報が知られてしまうのは、致命的である。
なぜなら、ダークウェブ上では、サーバーのIPアドレス等、本人特定に繋がる情報が漏れてしまっている事は、法執行機関による摘発を意味するからだ。
言い換えると、警察はサーバーを押収し、サーバー所有者の情報を調べ、更にはサイトの顧客情報までも収集する事が出来るのだ。
ダークウェブ調査を得意とする日本人セキュリティ研究者
過去二ヶ月以上の間、とある一人のセキュリティ研究者によって、ダークウェブ上で非常に効果的な調査が行われている。
その研究者のオンライン上のハンドルネームは”$h1ttyKids”(@Sh1ttyKids)という。
彼は、自身のブログで、違法で大麻販売を行うVendor Shop(売人が持つ専用の販売サイト)、ElHerbolarioに関する調査を報告した。
詳細は@Sh1ttyKids氏のブログに書いてあるので省くが、彼はElHerbolarioをホストするサーバーに関連する2つのオランダのIPアドレスを突き止めた。
- IPアドレス
-
- 188.209.52.177
- 185.61.138.73
彼は、これらのIPアドレスはBlazingFastというサーバーホスティングサービスのサーバーのものである事を発見。
BlazingFastは、ウクライナの匿名化を売りにしているサーバーホスティングサービスで、サイバー犯罪者を守る”防弾サーバー”として使われる事が多いようだ。
$h1ttyKids氏が公開した情報を使えば、オランダの法執行機関はサーバーを押収する事ができるようになる。
10月にはイタリアのダークウェブサイトの調査も
実は、$h1ttyKids氏は、10月下旬にはイタリア系のダークウェブ上のコミュニティ”Italian Darknet Community(IDC)”の調査も行なっており、IPアドレス(176.123.10.203)漏洩を確認したようだ。
その件に関しては、既にイタリアの法執行機関と連携がとれたようで、既に適切な方法で報告がなされたようだ。
以下、$h1ttyKids氏のブログ記事から引用する。
前回IDC2.0について書きましたが、私のTwitterのフォロワーを通じてイタリアの法執行機関の方を紹介してもらい適切に情報を提出することができました。今後も管理者について一緒に追いかけていくつもりです。今回の件に関しても法執行機関に提出をしていきたいと思います。
個人でもセキュリティ調査は充分に可能
@Sh1ttyKids氏は、本件に関する情報をブログで公開した上で、記事の最後に以下のように書いている。
近年Tor上に違法なサイトを構築している人が多くなってきていますが、セキュリティに関していえばそこまで頑丈と言うことではないことが前回と今回の記事でわかるかと思います。あまり技術を持っていない人でも簡単に見つけられるのでみなさんにもやってみてほしいです。このような手法は法律に一切触れることなく扱うことができるのでもっと認知してもらえれば嬉しい限りです。(どこかでハンズオンができればやりたいですね)
@Sh1ttyKids氏のブログで、ダークウェブにあるサイトのIPアドレス情報を見つける手順も詳細に記入されているので、関心のある人は是非同じように調査してみて欲しい。
また、セキュリティ研修で有名なSANSのポッドキャストでも、本件について触れられている。
SANS ISC (4:40あたり)
https://isc.sans.edu/podcast.html