1.はじめに
ダークウェブにアクセスする方法 の中で一番よく知られているのはTorブラウザーを使うことです。Torのダークウェブサイトはドメインの後ろに「.onion」が付く形で、Torブラウザーを通じてのみアクセスできます。しかし、Torブラウザーを利用しなくてもダークウェブサイトにアクセスする方法があります。今回の投稿ではChromeなどの一般ブラウザーからダークウェブへアクセスする方法と実際のハッカーグループのダークウェブサイトを調査する方法について語ります。
2.一般ブラウザーでダークウェブにアクセス
TorブラウザーのみでアクセスできるOnionドメインに、一般ブラウザーであるChromeを通してアクセスできるでしょうか。
ダークウェブサイトのドメインの後ろに「.ly」が付いていればアクセスできます。(あくまでもアクセスが「可能」であるだけで、「安全」ではないので、実際にアクセスすることはお勧めしません。)
onion.lyドメイン はTor2Webが提供するプロキシサーバーのドメインアドレスです。Tor2WebはTorネットワークに繋げなくても標準のブラウザーでOnionサービスにアクセスできるようにするソフトウェアプロジェクトです。
onion.lyで終わるダークウェブサイトのドメインは hxxp://abcdxxx1234[.]onion.ly のような形で、実際にアクセスするとTorブラウザーを使用したようにダークウェブサイトにアクセスすることができます。
3.ハッカーグループが使用するonion.lyドメイン
時々、悪名高いランサムウェア攻撃グループがこのようなonion.lyリンクを使うことを見られます。ランサムウェアに感染すると、攻撃者は身代金を要求し、自分たちの ダークウェブにアクセスする方法 の案内やリンクを伝えますが、一般ブラウザーを使う被害者がダークウェブサイトにアクセスできるようにonion.lyドメインに終わるアドレスを伝えます。
実際のランサムウェアハッカーグループが使うダークウェブサイトのアドレスをみるとドメインの接尾辞としてonion.lyが使われたことがわかります。下のリンクは実際に攻撃グループが配布したランサムウェアの配布ファイルを仮想環境で設置し、要求された身代金の支払い方から見つけたリンクです。
4.直接アクセスなしでOnion.lyドメインを探索
前述のように、 onion.lyドメイン は一般ブラウザーを活用してダークウェブのアクセス方法の1つで、リンクさえクリックすればすぐダークウェブサイトにアクセスできます。いくつかの国ではダークウェブにアクセスすることだけで問題になりかねないです。そうでなくてもランサムウェアグループなどのハッカーが運営するダークウェブサイトにonion.lyリンクでアクセスする場合、ドメインプロバイダーから接続者のIPアドレスが把握されることができるので、また他の攻撃対象になれます。
onion.lyドメインを確認しなければならないときに、直接アクセスしなくても情報を得られる方法があります。Security OSINT検索エンジンに検索すると、次のようにonion.lyサイトの情報及びスクリーンショットを確認できます。
結果をみると、悪用履歴が確認でき、フィッシングURLとして検知されたことが分かります。
また、次のように直接アクセスしなくてもリアルタイムのウェブサイトスクリーンショットを確認できます。
5.おわりに
このように、必要によってダークウェブサイトを調査するとき、Torを設置しなくてもダークウェブにアクセスすることができます。ダークウェブサイトについての分析または、特定情報を集めようとする場合、本投稿が説明したSecurity OSINT検索エンジンなどを使っていただいて情報を得ることをお勧めします。