ダークウェブチェックの重要性と情報流出リスクを徹底解説
【目次】
サイバー攻撃が高度化するいま、企業が直面する脅威は“目に見える世界”だけではありません。むしろ注意すべきなのは、攻撃者同士が情報を売買し、攻撃の準備が進められるダークウェブの存在です。
ダークウェブでは、盗まれた認証情報や企業ネットワークへのアクセス権、個人情報、設計データ、さらには攻撃用ツールまでもが日々取引されています。これらは攻撃の材料として悪用されるため、企業にとって深刻なリスクとなります。
こうした“見えない世界”での動きを把握し、被害を未然に防ぐために不可欠なのが、ダークウェブチェックとサイバー脅威インテリジェンス(CTI:Cyber Threat Intelligence)(※1)による継続的な監視です。
本記事では、ダークウェブで流通する企業情報のリスクと、漏洩チェックの重要性を整理するとともに、企業が今すぐ取るべき実践的な対策ポイントを解説します。
※1 脅威インテリジェンスCTI:Cyber Threat Intelligence:
ダークウェブや公開情報などを継続的に監視し、攻撃の兆候や自社に関するリスク情報を収集・分析し、対策につなげるための仕組み。単なる情報収集ではなく、「意思決定に活かせる脅威情報」を得ることが目的。
ダークウェブとは何か──企業情報が取引される“地下市場”の実態
ダークウェブとは、通常の検索エンジンではアクセスできない、匿名性の高いネットワーク領域を指します。この特性が悪用され、攻撃者同士が情報を共有したり、取引したりする場として利用されていると報告されています。
主に取引されているのは次のような情報です。
- 漏洩したID・パスワード
- 社内ネットワークへのアクセス権
- 機密文書や設計データ
- 顧客情報・個人情報
- ランサムウェアによる窃取データや実行結果(公開サンプル)
- マルウェアや脆弱性の攻撃コード
特に注意したいのは、攻撃者に必要な情報やツールがそろっており、誰でも“攻撃を実行できる環境”が整っている点です。
つまり、企業が意図的に狙われていなくても、流出した情報をもとに攻撃対象となるケースが増えています。こうした状況を踏まえると、自社情報がどのように流出しているかを把握するには、定期的なダークウェブチェックが欠かせません。
たとえば、個人情報流出チェックや漏洩チェックを継続することで、ダークウェブ上のリスクをいち早く捉え、被害を抑える取り組みにもつながります。
実際の被害事例―製造業で発生したランサム被害と情報流出の深刻性
実際にニュース等で報告されている国内製造業のランサムウェア被害では、大規模な情報流出が確認されています。
攻撃グループは社内ネットワークに侵入後、数百GB規模のデータを窃取し、その一部をダークウェブ上に「サンプル」として公開していました。
公開された情報には次のようなものが含まれています。
- 社員リスト(氏名・メールアドレス等)
- パスポート情報
- 製品の設計データ
- 顧客とのメール履歴
- 契約書・取引書類
特に注意したいのは、取引先企業の情報まで流出していた点です。自社の情報流出だけにとどまらず、取引先への影響が及ぶことで、法的責任や信頼低下、取引停止といった二次被害につながる可能性があります。
こうした攻撃の多くは、突然起きるのではありません。事前にダークウェブ上で情報が売買されたり、攻撃計画に関するやり取りが行われたりするケースも確認されています。
さまざまな兆候を早期に察知できていれば、被害の回避や、影響の最小化につながった可能性があります。
急増するID・パスワード漏洩──主な手口とリスク
近年、ID・パスワードの漏洩が急増しています。主な要因は次の2点です。
① フィッシングサイトへの誘導
偽のログインページへ誘導し、入力されたID・パスワードなどの認証情報をそのまま窃取する手口です。古典的ではあるものの、現在も多くの被害が発生しており、攻撃メールも巧妙化しています。
② マルウェア感染による“ブラウザ保存情報”の窃取
近年特に増加しているのがこの手口です。ChromeやEdgeなどのブラウザに保存されたログイン情報は利用者にとって利便性が高い一方、マルウェアに感染すると過去に保存したすべてのID・パスワードなどの認証情報が一括で盗まれるリスクがあります。
さらに問題なのは、こうして窃取された情報が短時間でダークウェブ上に流出し、第三者に悪用されてしまう可能性がある点です。
個人用アプリのログイン情報なら被害は限定的ですが、もし以下のような認証情報が含まれていた場合、重大な被害につながる可能性があります。
- 社内VPN
- 基幹システム
- SaaS管理コンソール
- ファイルサーバー
攻撃者が正規の認証情報を悪用し、結果として侵入を許してしまうケースもあります。そのため、EDR(※2)などを導入していても、不正アクセスとして検知されにくく、気づいた時にはすでに攻撃者が内部で自由に活動しているケースも少なくありません。
※2 EDR(Endpoint Detection and Response):
端末の不審な動きを監視し、対応する仕組み
ダークウェブで1億件超のco.jp情報が売買──“情報サブスク”市場の実態
現在、ダークウェブ上では1億件を超える「co.jp」ドメインのID・パスワードなどの認証情報が流通していると言われています。
さらに近年では、匿名性の高いSNSであるTelegramを利用した情報販売が急拡大しており、いわゆる“サブスクリプション型”のモデルまで登場しています。
- 月額1万円程度で漏洩ID・パスワードを見放題
- 業種別(金融・製造・医療など)のリスト提供
- VPNやSaaS 管理画面へのアクセス権の個別販売
この背景には、攻撃者側の分業化があります。
- マルウェアを開発する者
- 情報を窃取する者
- 情報を販売する者
- 購入した情報を使って攻撃する者
このように攻撃者側に強固なサプライチェーンが構築されており、その中心として機能するのがダークウェブ市場です。だからこそ、企業はこの“攻撃の準備段階”を監視し、自社に関わる情報をいち早く把握することが、被害防止において重要なポイントとなります。
ダークウェブチェックの実践―脅威インテリジェンスとKELAによる対策
こうした複雑な攻撃の仕組みを理解し、先回りして対策を講じるには脅威インテリジェンス(CTI:Cyber Threat Intelligence)の活用が不可欠です。
CTIを導入することで、以下のような対応が可能になります。
- すでに漏洩している自社情報の検知
- ダークウェブ上での攻撃準備の兆候把握
- 情報の真偽性評価
- 対応の優先順位付け
- インシデント対応の迅速化
その継続的な可視化と分析を支える選択肢の一つが、CTIに特化したプラットフォーム「KELA」(ケラ)です。KELAは、以下の特長を備えています。
- ダークウェブ、犯罪フォーラム、Telegram、リークサイトなどを横断的に監視
- 自社に関連する情報を自動紐付けし、ノイズを削減
また、攻撃者の活動履歴や信頼性といった情報もあわせて提供されるため、単なる情報収集にとどまらず、実際の意思決定に活用できる“実践的なインテリジェンス”として機能します。
これにより、企業はダークウェブ上の情報を継続的に把握し、個人情報流出や情報漏洩のリスクに対して、より早い段階で対応できる体制を構築できます。
電通総研では、こうした情報流出リスクの可視化と分析を支援する脅威インテリジェンスソリューション「KELA」(ケラ)を提供しています。
ソリューションの詳細については、以下をご参照のうえ、ぜひお気軽にお問い合わせください。
情報流出検知(脅威インテリジェンス)ソリューション「KELA」
ダークウェブ上の自社情報を把握し、漏洩リスクに先回りして対策したい方は、以下より詳細をご確認ください。
