ここから本文です

ダークウェブをスパイする「Tor HSDir」が100以上見つかる

THE ZERO/ONE 8/8(月) 14:24配信

Torノードからのトラフィックを監視しようとする試みは目新しいものではない。以前にも我々は、攻撃者がユーザーの匿名性を暴くために悪意のある出口ノードを設置するという活動について報じている。

2014年初め、スウェーデンのカールスタード大学の研究者Philipp Winter氏とStefan Lindskog氏が、ウェブトラフィックの改ざんや、トラフィックの解読、ウェブサイトの検閲を行うTorネットワークのノード25個を特定した。この研究者らは、Torネットワークの出口ノードでの怪しい行動を分析するための4ヵ月に及ぶ調査を実施し、その結果を発表した。彼らは、特定ではないのロシア国内の何者かがTorネットワークの末端でノードを傍受していたことを発見した。

「秘匿サービスディレクトリ」(HSDir:hidden service directory)は、ユーザーが秘匿サービスを訪問するためのネットワークリレーだ。今回研究者らは、悪意あるHSDirを100以上も見つけ出した。

研究者であるFilippo Valsorda氏とGeorge Tankersley氏は1年前、アムステルダムで開催されたHack in the Box セキュリティカンファレンスで、HSDirノードの解析を活用した匿名性を暴くための技術を披露した。

「入り口ノードや出口ノードからトラフィックの匿名性を解除するのはとても難しいことから、この研究者らは接続が発生するタイミングを見極められる他のものがないかと考え始めていた。その答えが、秘匿サービスのデータベースだっだ」とiDigitalTimesは報じている。「秘匿サービスをホストしたい場合、Tor Onionデータベースでサービスをアドバタイズする必要がある。このデータベースは、HSDirと呼ばれる安定したリレーマシンのグループで構成されるDHT(訳注:Distributed Hash Table)である。秘匿サービスを訪れようとする人は、データベースにサービスに関する情報をリクエストしなければならない。従ってこれらのリレー(HSDir)では、通信のためにリクエストしている人物や通信したいタイミングを知ることができる。よって攻撃者はユーザーのトラフィックの匿名性を暴くために、秘匿サービス用のHSDirノードになるという手が使えるのだ」

Tor Projectが公開しているTor Metricsを見てみると、HSDirフラグを持つ3100以上のノードがあることが分かる。

攻撃者は秘匿サービスのアドレスのログを取るように設定し、HSDirを悪用する。MotherboadのJoseph Cox氏は、ノースイースタン大学のコンピューター・情報科学カレッジの教授 Guevara Noubir氏と同大学の博士候補Amirali Sanatinia氏が実施した調査について報じている。両氏は、TorウェブサイトをスパイするTor秘匿サービスディレクトリが複数存在することを明らかにした。このような種類の攻撃によって、法執行機関がブラックマーケットや児童ポルノサイトのIPアドレスを発見できる可能性がある。

類似技術は、ダークウェブ情報サービスを提供するセキュリティ企業にとっても大いに役立つ。攻撃者がこの技術を用いてTor秘匿サービスのIPアドレスを明らかにする可能性がある。Noubir氏は8月に開催されるハッキングカンファレンスDEF CONにて調査結果を発表する予定だ。

「我々は、自分たちが作ったものを『honey onions』もしくは『honions』と呼んでいる。これらは、誰とも共有されていないonionアドレスである」と Noubir氏は話した。

彼らは72日以上に渡って4500のhoney onionsを作動させ、少なくとも110のHSDirが秘匿サービスをスパイするために設定されているということを特定した。

偽のHSDirを運用する攻撃者の中には、ペネトレーションテストを含むさまざまな活動に関わる積極的なオブザーバーもいるということを研究者らは強調している。

偽のHSDirの大部分をホストするのが米国で、ドイツ、フランスが続く。しかし実際にこれを運用しているのが誰かということを知るのは不可能である。
 
翻訳:編集部
原文:Boffins spotted over 100 snooping Tor HSDir nodes spying on Dark Web sites
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。

Security Affairs

最終更新:8/8(月) 14:24

THE ZERO/ONE