2014年2月5日

匿名ネットワークTorとその追い詰め方

 
　読者の皆様はじめまして。トライコーダの上野宣と申します。普段はサイバー演習のトレーニングを行ったり、教育コンテンツを作ったりしていますが、月に1度はセキュリティ関連の情報を集めに海外カンファレンスに行ったりしています。国内にもセキュリティカンファレンスはありますが、海外は攻撃や犯罪について詳しく語っているものも多いので情報収集にとても役立っています。

　そんな私がここ数年の情報収集キーワードの1つとしていたのが「Tor」です。
 
■「Tor」を使ったサイバー犯罪が増加
　いわゆる遠隔操作ウイルス事件で「Tor」という匿名でインターネットにアクセスできる仕組みがあるのを知った方も多いのではないでしょうか。この事件は、2012年に犯人が掲示板を介して他人のパソコンを遠隔操作して、それを踏み台として犯行予告を行った事件です。この事件の捜査が難しかったポイントの1つとして、犯人が「Tor」を使用していたことが挙げられます。「Tor」を使うことで、インターネット上の身元となるIPアドレスを判らないようにしたのです。
 
　この「Tor」を使ったサイバー犯罪が近年世界各国で増えてきているため、犯罪捜査が困難になっているという現状を耳にします。
 
■匿名ネットワーク「Tor」とは
　「Tor」というのは、匿名ネットワークと匿名サービスを提供するシステムで、「Tor Browser Bundle」というのをダウンロードして使うだけで誰でも簡単にプライバシーを犠牲にすることなく情報共有が可能になるというものです。元々は米国海軍研究所のプロジェクトで、政府の通信を保護することが主な目的でしたが、その後 EFF（電子フロンティア財団）が支援し、現在の利用者は匿名での発言を求めているジャーナリストや人権保護団体、果ては反テロ組織や犯罪者までが利用しています。
 
　「Tor」が提供する分散型匿名ネットワークは、インターネット上の身元となるソースIPアドレスを隠してインターネット利用が可能になるというものです。これはオニオンルーティングという、ボランティアのユーザーなどによって構成されたネット上の分散ノードを使って、ランダムな経路でのアクセスを実現することで、ソースIPアドレスを隠しています。暗号化をうまく使っていることなどによって、この匿名化の技術的に破ることは相当困難だとされています。そのため、犯罪者が「Tor」を隠れ蓑に使うことがあるのです。
 
■逮捕事例に見る「Tor」犯罪者の追い詰め方
　「Tor」自体の匿名化を破ることは難しいとされていますが、それでも犯人逮捕の事例はいくつもあります。
 
　米国の違法薬物密売サイトの運営者がFBIに逮捕されたときには、運営者の身元情報の扱いに関するミスをついたことによるものでした。運営者は別名を使って活動していましたが、彼の本名で「Tor」の使い方についてWeb上で質問している記事がありました。また、そのサイトへの投資を募る際に個人のメールアドレスが一度だけ使われたことがありました。こういった些細な情報から怪しい人物を絞り込み、逮捕につなげることができました。
 
　一方で、技術的に追い詰めるための「de-anonymize」という匿名のデータを実際のデータと結びつける、非匿名化を行う手法も研究されています。「Tor」ノードの一部に取締機関側が参加したり、他のサイトで使われていたCookieと呼ばれるトラフィック追跡の仕組みを利用したり、「Tor」で利用するブラウザ自体の脆弱性を利用して犯人をあぶり出すといったことが行われていて、一定の効果を上げています。
 
■利用禁止の流れも
　もともとは正義のために使われようとしていた「Tor」ですが、ある統計によるとトラフィックの30％が違法なものに関係しているとのことです。通常のインターネットでは1％以下とのことなので、かなりの割合です。それ故に、利用を禁止させたいという流れになるのも仕方がないことでしょう。国家レベルで禁止に動いていたり、組織レベルで行われていたりとさまざまです。今のところ日本国内では禁止されていませんが、企業によっては利用を禁止しているところもあります。
 
　今後、取締機関はもちろん、企業や組織の方まで「Tor」の存在を軽視することはできなくなるでしょう。
 
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。