ダークウェブ界の大物、痛恨のミス 見えてきた“正体”(1/3 ページ)
ダークウェブを調査するホワイトハッカーが、世界最大のダークウェブマーケットであるDream Marketの管理人の素性に迫る。
連載:知られざるダークウェブの世界
ダークウェブを調査・監視するホワイトハッカーのSh1ttyKids(してぃーきっず)さんが、知られざる「ネットの裏側」をレポートする。
著者:Sh1ttyKids(してぃーきっず)
ダークウェブ上のサイトについて、調査・監視活動を行うホワイトハッカー。大麻販売サイトが秘匿するIPアドレスを探し当て、法執行機関へ提供するなどの実績を持つ。
ダークウェブマーケットとは、接続経路匿名化ソフト「Tor」の機能である「Hidden Service」(秘匿サービス)を用いて構築された闇市場です。違法薬物や偽造パスポート、運転免許証、ハッキングのチュートリアルなどの商品が多数取引されており、その匿名性の高さが捜査を困難にしています。
一方で、米FBIやユーロポール、オランダ警察、英国家犯罪対策庁といった法執行機関はダークウェブ上の犯罪捜査で大きな成果を上げています。「Silk Road」「AlphaBay」「Hansa」などのダークウェブマーケット上で違法薬物の売人を追跡し、逮捕に至っています。
匿名性の高さにもかかわらず、なぜ法執行機関は関係者を逮捕できているのでしょうか。それは意外なことに、ダークウェブサイトの管理人でも何らかの脆弱(ぜいじゃく)性放置や設定ミスを犯しているためです。
例えば、違法行為をしている際のIDが現実の自分と結び付いてしまうのは重大なミスです。実際にAlphaBayでは、マーケット利用者に送ったメールに管理者個人が使用していたと思われるアドレスが含まれていたというミスから管理人の特定、逮捕に至っています。Hansaでは開発用サーバから、HansaのオリジナルサーバにつながるIPアドレスが漏えいしました。捜査の末、「Lul.to」という海賊版の本やアルバムを販売しているサイトの管理者と同じであることが特定され、米国司法省の発表の通り閉鎖されました。
本記事では、現在運営されているダークウェブマーケットの中で世界最大の「Dream Market」が犯した“ミス”について焦点を当てます。“ミス”を基に調査していく中で、「ネットの裏側」で隆盛を極めるマーケットの管理人にひも付く実社会上の情報や、マーケット利用者に対する詐欺との関連性が見えてきました。
Dream Marketは、ビットコインを決済に用いていた当時(〜2013年)世界最大のダークウェブマーケット「Silk Road」の閉鎖以降に、「Team SpeedSteppers」というID(個人か団体かは不明)によって設立されたダークウェブマーケットです。他の大きなマーケットの閉鎖やハッキング、出口詐欺(新規注文の振込は受けるが商品を発送しない信用詐欺の一種)などをよそに着実に成長していったのが特徴で、特に17年7月のAlphaBayとHansa Marketの閉鎖騒動以降、徐々にその頭角を現し、ユーザー数や取引数も増加しています。
管理人は「SpeedStepper」の名で発言するため、以後Dream Marketの管理人は「SpeedStepper」と呼ぶことにします。
3度もIPアドレス漏えい? ミスか、あるいは「かく乱」か
ダークウェブにおいてIPアドレスが外部に漏れるということは、法執行機関による捜査の手が及び得ることを意味します。ダークウェブのサイトで漏えいが実際に起きると、それだけでダークウェブ利用者からの信頼が落ちてしまうので、さまざまなサイトがIPアドレスの漏えいを起こさないように対策を打っています。
そんな中で、Dream Marketはこれまでに私が知る限り3度もIPアドレス漏えい騒動を起こしました。
1. Dream Market内のJavaScriptの中に書かれたIPアドレス
まず1度目は、16年10月ごろ、サイト内のJavaScriptに、あるIPアドレスが記述されていたというものです。調べたところ、スウェーデンの「Loopia AB」というホスティング会社のもので、その中には管理人と同じ名前の「speedstepper.se」がホストされており関連が指摘されていました。しかし実際には共有サーバのアドレスであったことから、Dream MarketのオリジナルサーバのIPアドレスではないと結論付けられています。
2. フォーラムのヘッダから漏えい
17年8月、Dream Marketが掲示板をアップグレードした後、ヘッダにIPアドレスが残っていることが発覚しました。これもDream Marketのサーバに関連しているのではといわれていますが、詳細は分かっていません。
3. サイトのソースコードから漏えい
これは17年10月に私が見つけたものです。Dream Marketのソースコードを読んでいたところ、IPアドレスが書かれたコメント行を発見しました。結論から言えば、これも1つ目と同じで共有サーバのものでした。
これらの詳細については、海賊版サイトの管理者情報やコインチェックから流出したNEMの行方を追ったCheenaさんがブログに紹介しています。
(関連記事:ダークウェブ闇市場「Dream」の匿名性は破られたか?)
これら3つの漏えい騒動は、そのIPアドレスがDream Marketとは関係がなかったり、ないとはいえないまでもそれ以上手掛かりがなかったりという状況から、「身元捜査のかく乱」を目的としている説が、リサーチャーの間では濃厚となっています。
Copyright © ITmedia, Inc. All Rights Reserved.