Dark Web Intelligence(Darknet Intelligence)をするには、ダークウェブを探索する知識がある程度必要になるため、その取っ掛かりになるものをメモ程度にまとめてみた。
Dark Web Intelligence(Darknet Intelligence)とは
略してDARKINT。
ダークウェブ上の脅威情報を収集・分析・加工したもの、もしくは、それらを行うための活動。
脅威インテリジェンスと似ているが、DARKINTはダークウェブ上の脅威情報にフォーカスしている。
Dark Web Intelligenceの目的
・ダークウェブ上の犯罪者の活動を観察する
・脆弱性やマルウェアなどの情報を収集する
・自社に関するデータが漏洩してないか監視&検知する
・etc.
ダークウェブを探索する準備
この記事では、Torネットワークの探索を例に紹介する。
Torネットワーク上のサイトへのアクセス手段
一番楽で誰でも知っていそうなのは、Tor Browserからアクセスする方法だろう。
TraceLabs OSINT VMみたいに、最初からTor Browserが入っているVMを使えば簡単に環境が構築できる。
他には、Torを使ったオンラインサービスを使うという手がある。
4everproxyのTor Web Proxyみたいに、代理でアクセスしてくれるサイトがあるので、こういったものを探してみよう。
既に知られているサイトを探索してみる
手動でダークウェブ上のサイトを見つけてくるのは、かなり大変。
なので、誰かが既に見つけているサイトから情報を収集してくることから始めるという手がある。
下記のGitHubレポジトリは、様々なディープウェブやダークウェブの情報源が書かれているためおすすめ。
Torネットワーク上のサイトを見つけてくる
Torネットワーク上のサイトを検索できるサービスはたくさん存在する。
・ahmia
・tor66
・haystack
・onionland
・etc.
これらのサービスでそれぞれ調べていくのは面倒なので、OnionSearchみたいなツールを使って、まとめて収集する。
下の画像は、OnionSearchを使って、あるキーワードで収集した時に出力されたテキストファイルの一部。
Webサイトのクローリング
ブラウザでアクセスしても問題ないのかわからないときがある。
その時に、クローリングをしてくれるツールがあると便利。
ダークウェブ上の犯罪者コミュニティを見つけるコツ
例えば、他のユーザと対戦したり、キャラやアイテムを集めて交換できるオンラインゲームがあるとする。
そのオンラインゲームのコミュニティでは、対戦したり、キャラやアイテムを交換したりする人を集めるために、特定のキーワードが飛び交っている。
なので、そのキーワードで検索すると、たくさんのコミュニティを見つけることができる。
犯罪者コミュニティも同様で、犯罪者同士が交流したり、取引したりする時によく使われているキーワードというものがある。
そういったキーワードを元に探索することで、犯罪者コミュニティを見つけることが可能になる。
ダークウェブの探索で気をつけること
・信頼できない情報も飛び交っているので、鵜呑みにし過ぎない
・(これに限った話ではないが)セキュリティ対策を怠らない
・フォーラムとかでは、会員登録したり登録料を支払ったりしないと詳細がわからないことがあるため、すべてを把握できるわけではない
・犯罪者の利益にならないようにする