「うちの会社の情報がダークウェブに流出しているかもしれない——でも実際にどう確認すればいいのか、どう対処すればいいのかわからない」
セキュリティインシデントのニュースで「ダークウェブに情報が流出した」という見出しを見るたびに、こういった不安を抱くエンジニアや情シス担当者は多いはずです。しかし「ダークウェブ」という言葉の意味、そこで何が起きているのか、そして自社として何ができるのか——これを整理して答えられる方は意外と少ないのではないでしょうか。
この記事では、ダークウェブの仕組みとリスクを正確に理解したうえで、企業として取るべき実践的な対策を現場目線で解説します。「正しく知れば正しく備えられる」——そのための情報をまとめました。
ダークウェブとは?インターネットの「見えない領域」を理解する
まず、インターネット全体の構造を整理しましょう。インターネットは大きく3つの層に分かれています。
| 層 | 概要 | 代表例 |
|---|---|---|
| サーフェスウェブ(Surface Web) | GoogleなどでインデックスされたWebサイト | ニュースサイト・企業サイト・SNS |
| ディープウェブ(Deep Web) | 検索エンジンにインデックスされていない領域 | 会員制サービス・企業イントラ・メール本文 |
| ダークウェブ(Dark Web) | 特殊なソフトウェアでのみアクセスできる領域 | Torネットワーク上の匿名サイト(.onion) |
ダークウェブは、Tor(The Onion Router)などの匿名化ネットワークを使ってのみアクセスできる、通常のブラウザでは到達できないWebの領域です。URLは「.onion」で終わるものが多く、Googleなどの検索エンジンにはインデックスされません。
よく「ディープウェブ=ダークウェブ」と混同されますが、これは誤りです。ディープウェブはインターネットの大半を占める「ログイン後のページ」や「企業の内部システム」など、検索エンジンに引っかからないだけの普通のWebサービスを含みます。ダークウェブはそのなかの特殊な一部で、匿名性の高いネットワーク上でのみ存在する領域です。
ダークウェブ自体はアクセスしても直ちに違法ではありません。言論の自由が制限された国のジャーナリストや人権活動家が安全に通信するために活用されてきた歴史があります。しかし現実には、盗まれた認証情報・クレジットカード番号・マルウェアキット・企業の機密文書などの売買が広く行われており、サイバー犯罪のインフラとして機能しているのが実態です。
なぜ「匿名」なのか?Torネットワークの仕組み
ダークウェブの匿名性を支えているのがTorネットワーク(The Onion Router)です。
通常のインターネット通信では、接続先サーバーに送信元のIPアドレスが伝わります。これに対してTorは、通信を複数の中継ノード(リレー)を経由させることで、最終的な接続先から送信元を特定できなくする仕組みです。
# Torの通信経路(概念図) あなたのPC → ガードノード(Entry Guard) ← ここだけ送信元IPを知る → ミドルノード(Middle Relay) ← 前後のノードしか知らない → 出口ノード(Exit Node) ← 宛先サイトに接続 → 目的のサイト(.onionなど) # 各ノードは「前のノード」と「次のノード」しか知らない # → 送信元から宛先を1本の線でたどるのが非常に難しくなる
この仕組みをタマネギ(Onion)の層にたとえて「Onion Routing」と呼びます。各中継ノードで暗号化の1層が剥がされる様子が、タマネギの皮をむくのに似ているためです。
重要なのは、この匿名性が「完全ではない」という点です。Torの出口ノードを攻撃者が制御したり、ブラウザの設定ミスや脆弱性を突かれたりすることで、身元が特定されたケースは過去に多数報告されています。法執行機関による摘発事例も存在します。
ダークウェブで取引されているもの——実態を知る
セキュリティ調査会社の報告をもとに、ダークウェブで実際に流通しているものを整理します。
・認証情報(クレデンシャル): 企業VPNのID・パスワード、クラウドサービスのアカウント情報。1件数ドル~数百ドルで取引されます。アクセス権の価値が高い組織(金融機関・官公庁など)の認証情報は特に高値がつきます
・クレジットカード情報: カード番号・有効期限・CVV(カード裏面の3桁)のセット。フルセット品は不正購入に直接利用されます
・個人情報(PII): 氏名・住所・生年月日・マイナンバーなどのセット。フィッシング・なりすまし・振り込め詐欺に悪用されます
・マルウェアキット・RaaS(Ransomware as a Service): 技術力のない犯罪者でもランサムウェア攻撃を実行できる「サービス化されたマルウェア」が月額課金や成果報酬型で提供されています
・初期アクセスブローカー(IAB)の情報: 既に企業ネットワークへの侵入に成功した攻撃者が、そのアクセス権を他の犯罪者に売却するビジネスが成立しています
・ゼロデイ脆弱性情報: まだ公式パッチが存在しない脆弱性の情報は特に高値がつき、数百万円以上で取引されることもあります
企業情報がダークウェブに流出するまでの経路
自社の情報がダークウェブに流れるルートは、主に次の4つです。
1. 認証情報の窃取
最も多いパターンです。フィッシングメールによる誘導、パスワードリスト攻撃(過去の漏洩DBから抽出したID・パスワードを使い回す攻撃)、情報窃取型マルウェア(Infostealer)によって従業員の認証情報が盗まれます。盗まれた認証情報はダークウェブのマーケットプレイスで販売されます。
Infostealerの代表例として「Redline Stealer」「Raccoon Stealer」などが知られており、ブラウザの保存パスワード・Cookie・クレジットカード情報を自動収集してC2サーバーに送信します。
2. 脆弱性悪用による侵入+データ窃取
公開されているWebアプリや境界デバイス(VPN装置・ファイアウォール等)の脆弱性を突いて侵入し、顧客DB・社内文書・人事情報などを抜き出してダークウェブに掲示するケースです。
近年のランサムウェアグループが行う「二重脅迫(Double Extortion)」がこれに当たります。データを暗号化するだけでなく、身代金を支払わなければ盗んだデータをリークサイト(Tor上の公開サイト)で公開すると脅迫します。
3. サプライチェーン経由の流出
直接攻撃が困難な場合、取引先や利用しているSaaSサービスが侵害され、間接的に自社データが流出するケースです。2020年のSolarWinds事件や、2021年のKaseya事件などが代表例です。自社がどれだけセキュリティを高めても、取引先の対策が不十分だと連鎖的に被害を受けます。
4. 内部不正
退職者や悪意ある従業員が意図的に顧客データや機密文書を持ち出し、ダークウェブで売却するケースも報告されています。特に退職直前の大量ダウンロードは検知しにくく、DLP(Data Loss Prevention)ツールの導入が有効です。
具体的な防御手順
ダークウェブへの情報流出対策は「流出させない」「早期に発見する」「被害を最小化する」の3段階で設計します。
1. 流出を未然に防ぐ
最も重要なのは「攻撃者に認証情報を取らせない」「侵入させない」ことです。
・多要素認証(MFA)の全面展開: 認証情報が盗まれても、MFAがあれば不正ログインを防げます。VPN・クラウドサービス・メール・SaaSなど、すべての入口に設定しましょう。特にVPNとクラウド管理コンソールへのMFA導入は最優先です
・パスワードマネージャーの組織導入: 使い回しパスワードは一度の漏洩で全サービスが危険にさらされます。1Password・Bitwarden・KeePassなどのパスワードマネージャーで、サービスごとに異なるランダムなパスワードを管理します
・フィッシング対策訓練の定期実施: 認証情報窃取の最大の入口は従業員のクリックミスです。年2回以上の訓練メール送付で実践的なリテラシーを維持します
・エンドポイント保護(EDR/XDR)の導入: Infostealerは認証情報を自動収集してC2サーバーに送信します。EDRによってこの不審な挙動を検知・遮断します
・脆弱性パッチの迅速な適用: 既知の脆弱性を放置しないことが大前提です。特にVPNやファイアウォールなどの境界デバイスは攻撃の入口として最も狙われやすいため、パッチ適用を最優先にします
2. 漏洩を早期に発見する
完全な流出防止は困難です。「いかに早く気づくか」が被害の大小を決めます。
・Have I Been Pwned(HIBP)でドメイン確認: haveibeenpwned.com では、過去に公開された漏洩データベースと照合して自社メールアドレスが流出しているか確認できます。個人アドレスの確認は無料で、ドメイン単位の監視は有料プランで利用できます
・ダークウェブモニタリングサービスの活用: 自社のドメイン・ブランド名・メールアドレスがダークウェブ上に出現した際に通知するサービスです。Microsoft Defender for Business(Microsoft 365 Business Premium)やGoogle Workspace Enterprise向けの機能として含まれているプランもあります。専業の脅威インテリジェンスプラットフォームとしては、Recorded Future・Digital Shadows(Reliaquest)などが代表的です
・SIEMによる異常ログイン検知: 通常とは異なる時間帯・地域からのログイン試行を検知することで、盗まれた認証情報が悪用される前に気づける場合があります。SIEMの相関ルールで「深夜のVPN成功ログイン→直後のActive Directoryへの大量アクセス」などのパターンを検知します
3. 漏洩後のインシデント対応
情報が流出した疑いがある場合の初動手順です。
# 情報漏洩疑い時の初動チェックリスト ## STEP 1: 影響範囲の特定(発覚後1時間以内) - どのシステム・どの情報が対象か特定する - 流出した可能性のある認証情報をリストアップする - 影響を受けた可能性のあるユーザー数を把握する ## STEP 2: 認証情報の即時無効化 - 流出した可能性のあるパスワードをすべて強制リセット - セッショントークン・API キーを無効化 - 影響範囲のアカウントに MFA を強制適用 ## STEP 3: ログ調査で不正アクセスの痕跡を確認 - VPN・Active Directory・クラウドサービスのアクセスログ確認 - 不審なデータダウンロード・外部転送の有無を調べる - 侵入が確認された場合はフォレンジック調査へ移行 ## STEP 4: 関係者への報告 - 経営層・法務・広報への即時報告 - 個人情報保護法に基づく当局報告(要件を満たす場合72時間以内) - 影響を受けたユーザー・取引先への通知 ## STEP 5: 再発防止策の実装 - 根本原因(RCA)の特定 - 同種の脆弱性が他のシステムにないか横展開チェック
中小企業でも今日からできること
「ダークウェブ対策には大きな予算が必要」と思われがちですが、まず無料でできることから始めましょう。
コスト0円でできること:
・Have I Been Pwned で自社ドメインを確認: 会社のメールドメインを入力して、過去の漏洩データに含まれていないかを確認します。すぐに試せる最初の一歩です
・Google アラートでブランド監視: 自社名・製品名・代表者名をキーワードに Google アラートを設定し、不審な言及がないかウォッチします
・パスワードポリシーの見直し: 業務用アカウントでの同一パスワード使い回しを禁止するポリシーを明文化し、パスワードマネージャーの導入を検討します
・MFAの優先導入: まずVPNとクラウド管理コンソールの2か所に絞ってMFAを導入するだけでも、侵入リスクは大幅に下がります
月数千円~の低コスト施策:
・Have I Been Pwned のドメイン監視(有料): 自社ドメインへの新規漏洩が確認されると自動通知が届きます。価格は小規模組織向けに低コストで設定されています
・Microsoft 365 Business Premium のセキュリティ機能: すでにM365を利用しているなら、Business Premiumプランに含まれるDefender for Business・Entra ID P1の機能を活用することで追加コストを抑えながらモニタリング体制を整備できます
・従業員向けフィッシング訓練サービス: KnowBe4・IIJなど国内外のサービスが月額課金で提供されています。中小企業向けの廉価プランも増えています
よくある誤解と注意点
・「うちは小さい会社だから狙われない」は誤り: 攻撃者の多くは特定企業を狙う前に、自動化ツールで大量の認証情報を試します(クレデンシャルスタッフィング)。企業規模は関係ありません。むしろセキュリティ対策が手薄な中小企業は「侵入しやすい入口」として初期侵入の踏み台にされることもあります
・「ダークウェブへのアクセスは違法」は誤り: Torブラウザのインストールやダークウェブへのアクセス自体は、日本では直ちに違法ではありません。ただし、そこで盗品(漏洩データ・マルウェア等)を購入・利用することは違法です。また、セキュリティ調査目的でアクセスする場合も不正アクセス禁止法等のリスクをよく理解したうえで行う必要があります。詳細は法律の専門家にご確認ください
・「流出情報はすぐに削除できる」は誤り: 一度ダークウェブに流出した情報の完全削除は事実上不可能です。コピーが拡散される前提で「流出した情報を使った攻撃を防ぐ」方向で対策を設計する必要があります
・「パスワードを変更すれば安心」は不十分: パスワードを変更しても、氏名・住所・電話番号などの個人情報は変更できません。流出した情報の種類と流出後に想定される悪用シナリオを把握して、追加の対策(クレジットカードの利用停止・アカウントへの不審アクセス監視など)を実施します
・「大手のパスワードマネージャーは危険」という過剰反応: 1つのマスターパスワードで管理するため「そこが破られたら全滅」と懸念する方がいますが、パスワードマネージャー自体は強固な暗号化で保護されており、各サービスにバラバラの強力なパスワードを使うほうが総合的なリスクははるかに低くなります
本記事のまとめ
| ポイント | 内容 |
|---|---|
| ダークウェブとは | Torなどの匿名化ネットワーク経由でのみアクセスできるWeb領域。盗まれた認証情報・マルウェア・機密文書などが取引されている |
| 主な流出経路 | ①認証情報窃取(Infostealer・フィッシング)②脆弱性悪用による侵入③サプライチェーン経由④内部不正 |
| 防御の3段階 | ①流出させない(MFA・パッチ管理・フィッシング訓練)②早期発見(HIBP・ダークウェブモニタリング)③被害最小化(インシデント対応手順の整備) |
| 今日からできること | Have I Been Pwnedでのドメイン確認・MFAの優先導入・パスワードマネージャーの組織展開 |
ダークウェブは「怖いもの」ではなく「正しく理解して備えるもの」です。サイバー犯罪の多くは、基本的なセキュリティ対策の欠如を突いた「機会犯」です。認証情報管理の徹底とモニタリング体制の整備——この2点を押さえることが、情シス担当者として取るべき現実的な最初の行動です。
Linuxサーバーの認証強化(PAM設定・fail2ban)やシステムコールの制御については、姉妹サイトLinuxMaster.JPで詳しく解説しています。
ダークウェブへの対策、一人で抱え込んでいませんか?
認証情報の漏洩モニタリングからインシデント対応手順の整備まで、情シス1人体制でも実践できる具体的なノウハウをお届けしています。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
