ダークウェブモニタリングとは

ダークウェブモニタリングとは、Tor ネットワーク上のダークウェブマーケットやフォーラムを監視し、自分の個人情報や組織の機密情報が流出・売買されていないかを検知するサービスです。

データ侵害が発生すると、窃取された認証情報 (メールアドレスとパスワードの組み合わせ)、クレジットカード情報、個人識別情報がダークウェブ上で売買されます。この情報がクレデンシャルスタッフィング攻撃に悪用されるまでの時間は短く、漏洩の早期検知が被害拡大の防止に直結します。

モニタリングサービスは、ダークウェブ上のペーストサイト、フォーラム、マーケットプレイス、Telegram チャンネルなどを自動的にクロールし、登録されたメールアドレス、ドメイン名、クレジットカード番号などのキーワードとマッチングします。一致が検出されると、ユーザーにアラートを送信します。

個人向けと企業向けのモニタリング

個人向けモニタリング: パスワードマネージャーの多くが、保存されたアカウントの認証情報がダークウェブ上で検出された場合にアラートを出す機能を備えています。Google の「パスワードチェックアップ」や Apple の「漏洩したパスワードの検出」も同様の機能です。Have I Been Pwned のような無料サービスでメールアドレスの漏洩履歴を確認することもできます。

企業向けモニタリング: 企業向けサービスは、組織のドメインに紐づく認証情報の漏洩、社内文書の流出、ブランドの不正利用、経営幹部の個人情報の露出などを広範に監視します。脅威インテリジェンスプラットフォームの一機能として提供されることが多く、検知した情報をインシデントレスポンスのワークフローに自動連携できます。

いずれの場合も、モニタリングは「漏洩を防ぐ」技術ではなく「漏洩を早期に検知する」技術です。漏洩の予防には、強力なパスワード、多要素認証、アクセス制御の強化が不可欠です。

漏洩が検知された場合の対応手順

ダークウェブモニタリングで自分の情報が検知された場合、速やかに以下の対応を取ってください。

パスワードの即時変更: 漏洩が確認されたサービスのパスワードを直ちに変更します。同じパスワードを使い回している他のサービスも全て変更してください。
多要素認証の有効化: まだ設定していないサービスがあれば、この機会に全て有効化します。
不正アクセスの確認: 漏洩したアカウントのログイン履歴やアクティビティログを確認し、不審なアクセスがないか調べます。
金融情報の監視: クレジットカード情報が漏洩した場合は、カード会社に連絡して再発行を依頼し、不正利用がないか明細を確認します。
フィッシングへの警戒: 漏洩した情報を使った標的型フィッシングメールが届く可能性があります。不審なメールへの警戒を強化してください。

企業の場合は、インシデントレスポンス計画に基づいて対応チームを招集し、影響範囲の特定、封じ込め、根本原因の調査を体系的に進めます。

モニタリングの技術的仕組み

ダークウェブモニタリングサービスは、複数の技術を組み合わせて漏洩情報を収集・分析しています。

Tor ネットワークのクロール: 専用のクローラーが Tor の .onion サイトを巡回し、マーケットプレイスの出品情報やフォーラムの投稿を収集します。ダークウェブのサイトは頻繁に URL が変わり、アクセスに招待が必要な場合もあるため、クローラーの運用には専門的なノウハウが求められます。

ペーストサイトの監視: Pastebin やその類似サービスには、攻撃者が窃取したデータの一部を「サンプル」として公開するケースがあります。モニタリングサービスはこれらのサイトをリアルタイムで監視し、メールアドレスやドメイン名のパターンマッチングで漏洩を検出します。

認証情報データベースのスキャン: 過去のデータ侵害で流出した認証情報は、コンボリスト (メールアドレスとパスワードの組み合わせリスト) として蓄積・流通します。モニタリングサービスはこれらのデータベースを継続的にスキャンし、新たに追加された認証情報を検出します。Have I Been Pwned は 130 億件以上の漏洩アカウントを収録しています。

Telegram ・ Discord チャンネルの監視: 近年、ダークウェブのマーケットプレイスに加えて、Telegram や Discord の非公開チャンネルが漏洩データの売買に使われるケースが増えています。モニタリングサービスはこれらのメッセージングプラットフォームも監視対象に含めています。

漏洩検知後の組織的対応と法的義務

企業が自社の情報漏洩をダークウェブモニタリングで検知した場合、技術的対応に加えて法的・組織的な対応が必要です。

対応の優先順位: まず漏洩した認証情報の種類と範囲を特定します。管理者アカウントや特権アカウントの認証情報が含まれている場合は最優先で対処し、該当アカウントのパスワードリセットとセッション無効化を即座に実行します。一般ユーザーの認証情報については、影響を受けるユーザーへの通知とパスワードリセットの強制を計画的に進めます。

侵害通知の法的義務: 日本の個人情報保護法では、個人データの漏洩が発生した場合、個人情報保護委員会への報告と本人への通知が義務づけられています (2022 年改正法)。速報は事態を知った日から 3 - 5 日以内、確報は 30 日以内 (不正アクセスの場合は 60 日以内) に提出する必要があります。EU の GDPR では 72 時間以内の監督機関への通知が求められます。

信用情報の監視: 個人の場合、氏名・住所・生年月日などの個人識別情報が漏洩した場合は、なりすましによるローン申請や口座開設のリスクがあります。信用情報機関 (CIC、JICC) に本人申告を行い、自分の信用情報に不審な照会がないか定期的に確認してください。

再発防止策: 漏洩の根本原因を特定し、同種のインシデントを防ぐ対策を講じます。パスワードマネージャーの全社導入、多要素認証の必須化、従業員向けセキュリティ研修の強化が代表的な再発防止策です。

よくある誤解

ダークウェブモニタリングで漏洩した情報を削除できる: モニタリングサービスは漏洩情報の検知のみを行い、ダークウェブ上のデータを削除する機能はありません。一度流出した情報はコピーされて拡散するため、完全な削除は事実上不可能です。検知後は、パスワード変更や多要素認証の設定など、被害を最小化する対応が重要です。
ダークウェブモニタリングに登録すれば情報漏洩を防げる: モニタリングは漏洩の「予防」ではなく「早期検知」のための手段です。漏洩を防ぐには、強力なパスワードの使用、多要素認証の有効化、不審なリンクを開かないなどの基本的なセキュリティ対策が必要です。モニタリングは多層防御の一要素として位置づけてください。

ダークウェブモニタリング