ショッピングはもちろん、各種書類の申請、銀行の口座管理、証券取引、会議など、オンラインで利用できるサービスが充実している。今ではインターネットからしか申し込めない、利用できないサービスも珍しくないほどだ。
わざわざ出向く必要がなく、家にいながら利用できることから、日々、便利に活用している人も多いだろう。
しかし、できることが増えて便利になった半面、個人情報の取り扱いはより慎重になる必要がある。流出してしまうと、アカウントが乗っ取られて勝手に利用されてしまうだけでなく、本人になりすまして新たなサービスの契約が行われたり、犯罪に利用されたりする危険すらあるからだ。
しかし、いくら本人が気を付けていたところで、個人情報を預けているサービスからの漏えいまでは防げない。少し検索するとわかるように、毎週のように不正アクセスのニュースがあり、そのたびに何千、何万といった個人情報が漏えいしている。
こういったニュースで度々出てくるのが、「ダークウェブ」というワードだ。「顧客情報をダークウェブで販売」「ダークウェブで犯行声明を出した」「漏えいした情報の一部をダークウェブで公開」といったように使われているのを、見聞きしたことがあるだろう。
一体、この「ダークウェブ」とは何だろうか。
通常の方法ではアクセスできない「ダークウェブ」
ダークウェブとは、通常の方法では見ることができないウェブサイトの総称。Googleなどの検索サイトでは見つからず、一般的なブラウザーからもアクセスできないため、普通にインターネットを利用するぶんには認識できない。また、認識する必要もない。ある意味、インターネットの裏通りといった存在だ。
このダークウェブで使われているのが、通信経路の匿名性を高める「Tor」(The Onion Router、トーア)と呼ばれる技術だ。ただし、これはダークウェブ用として開発されたものではなく、米国海軍調査研究所によって開発された「Onion Routing」が元となる。
国家機密の通信に無防備な通信網を利用してしまえば、傍受、検閲などによって内容が漏えいしてしまう危険がある。また、暗号化によって内容が守られたとしても、送信元と送信先がわかってしまえば、「データを送受信する協力者の居場所」がバレてしまうだろう。国によっては、身柄が拘束されてしまう危険すらある。
こういったリスクをなくすため、通信経路の匿名性を高める技術として、Onion Routingが開発されたわけだ。この技術を元に、現在開発、運用が続いているのがTorとなる。とくに、国家による通信の検閲が行われている国では、通信の自由と秘密を守る手段として利用されている。
ただし、その匿名性の高さから、違法な取引を行っても足がつきにくいというのも事実。残念ながら、犯罪行為に利用されてしまうことも多い。
「ダークウェブ」ってどんなもの?
ダークウェブについて詳しく理解する必要はないが、ある程度知識がなければ、何をどう注意しなければならないのかもわからない。そこで、ダークウェブについてのちょっとした疑問について、簡単に説明しておこう。
Q.どうやってアクセスするの?
例えばブラウザーであれば、「Tor Browser」のように専用のツールが必要となる。このブラウザーを使うと、一般のサイトへのアクセスにもTorが使用されるため、履歴や追跡情報を残すことなく検索や閲覧が可能となる。
ダークウェブへのアクセス用としてではなく、匿名性の高いブラウザーとして利用するのもありだろう。
Q.一般人でもアクセスできる?
特に利用が制限されることはないため、アクセスするツールさえあれば、一般人でもアクセス可能だ。犯罪用途ばかりが注目されがちだが、そうでないサービスも多い。例えばBBCでは、通信制限のある国へニュースを提供するため、ダークウェブを使ったニュース配信も行っている。
Q.ダークウェブにアクセスすること自体は違法になる?
ダークウェブの利用はあくまで手段に過ぎないため、アクセスそのものが違法になることはない。ただし、ダークウェブで公開されている情報、アップロードしてあるファイルなどを手に入れて使うことは、違法となる可能性が高い。
Q.どのような危険があるのか?
基本的には通常のインターネット利用と同じ。ただし、違法なファイルへのアクセスがしやすいだけに、ダウンロードしたファイルにマルウェアが仕込まれている可能性は高くなるだろう。
また、ショッピングであれば、信用第一で商売しているところもあれば、完全な詐欺、武器や危険物を扱うところなどさまざまだ。どれにも共通しているのは、通常では販売が難しい違法、もしくはそれに近い商品が扱われている点。こういったものの購入は、そもそも危険だということを肝に銘じておきたい。
特に目的がなければ、興味半分でアクセスするとマルウェア感染や詐欺に遭う可能性が高いためおすすめしない。
Q.ダークウェブに個人情報が漏れていないか心配なんですが…
ダークウェブで販売、公開されている情報として、個人情報がある。メールアドレスや名前、生年月日、カード情報、サイトのIDやパスワードなど、自分の情報が漏れていないか心配になるのはよくわかる。
しかし、ダークウェブ上で自分の個人情報が流出していないか探し回るのは、やめた方がいい。その理由はいくつかあるが、最も大きな理由は、見つけたところで意味がないからだ。
流出情報は誰かが管理しているようなものではないため、例え自分の情報が掲載されていることが判明しても、削除してもらう方法はない。できることといえば、悪用されないことを祈ることくらいだろう。
また、運よくチェックした中に自分の情報がなくても、それがすべてではない。情報の流出元は多数あるうえ、多くの場所で売買されているため、そのすべてをチェックするというのは不可能だ。
それなら、個人情報が漏えいしているかを「心配するだけ無駄」と割り切り、放置すればいいかといえば……これもまた間違いだろう。ではどうすればいいか。そう、心配しなくていいだけの対策を用意しよう。
バージョンアップしたESET V18に個人情報漏えい監視機能
少しでも早く漏えいを知るためにおすすめなのが、セキュリティ対策ソフト「ESET HOME セキュリティ アルティメット」だ。最新バージョンのV18では、「個人情報漏えい監視」機能が搭載され、ダークウェブに流出している個人データを監視し、流出がわかり次第、すぐに教えてくれるという機能が追加されている。
この機能は、ESET HOMEから利用可能。監視対象は「氏名」「住所」「メールアドレス」の3つだが、メールアドレスだけは最大9つまで追加登録できる。
すでに漏えいしているのがわかっているメールアドレスを登録してみたところ、登録から約1時間半後に通知が届いた。どのくらいでチェックが完了するかは場合によりそうだが、数時間~数日くらいは様子を見た方がいいだろう。
なお、漏えいしていない場合は通知が来ないため、ちゃんと監視してくれているのか、逆に心配になることもあるだろう。だが裏を返せば、通知が来ないということは、漏えいしていないということの証拠。「便りがないのはいい便り」と考え、むしろ安心してほしい。
個人情報が漏えいしていた場合の対処方法
漏えいしていることが分かると慌ててしまうが、色々なウェブサービスに登録しているメールアドレスであれば、そう珍しいことではない。重要なのは、分かった後の対処と対策だ。
情報漏えい元のサービスがわかっている場合は、パスワードの変更と二要素認証の設定をなるべく早くやっておくこと。これだけで、不正アクセスの被害を未然に防げるようになる。
また、クレジットカードや銀行口座の履歴を確認し、身に覚えのない利用がされていないかも確認しておこう。もし、不正利用が疑われる取引があれば、クレジットカード会社や銀行に相談だ。
そして忘れてはいけないのは、情報漏えい元のサービスと同じID、パスワードを使っている他のサービスでも、パスワードの変更と二要素認証の設定を行っておくこと。
同じIDとパスワードを複数のサービスで使い回すというのはやってしまいがちだが、このままだと、利用してそうな他のサービスに手あたり次第ログインを試みられてしまう危険がある。こんな時でも、パスワードが違っていれば簡単にはログインできないため、被害を未然に防げるわけだ。
可能であれば、すべてのサービスで異なるパスワードを使うのが理想だ。これなら、例え1つのサービスからパスワードが漏れたとしても、他のサービスへの影響がほぼないからだ。
とはいえ、すべてのパスワードを暗記しておける人は、そうそういない。こういったパスワード管理は、専用ツールに頼ってしまうのがいいだろう。例えばESETであれば、「ESET Password Manager」という機能がある。
これは、使用するサービスごとにIDやパスワードなどを記憶し、管理できる機能。ランダム文字列のパスワード生成機能もあるので、サービスごとに異なるパスワードを使う、というのが手軽にできるようになるわけだ。もちろん、フォームに合わせて自動入力もできるので、間違えることなく、正しいID、パスワード入力ができるのも便利だ。
Windowsはもちろん、MacやAndroid、iOSでも利用できるため、複数端末でパスワードを一元管理できるのもうれしい。
ただし、ESET Password Managerが使えるのは、「ESET HOME セキュリティ プレミアム」と「ESET HOME セキュリティ アルティメット」だけ。シンプルな「ESET HOME セキュリティ エッセンシャル」では使えないため注意したい。
まとめると、漏えいが発覚した場合は、①漏えい元のサービスでパスワード変更、②二段階認証の設定、③不正な取引がないかの確認、という対処をまず行いたい。それが終わってから、④同じIDやパスワードを使い回している他のサービスを確認・変更する、という対策を行っていくのがいいだろう。
ESET V18のもうひとつの新機能「ESET Folder Guard」
ESET V18では、「個人情報漏えい監視」以外に面白い機能として、「ESET Folder Guard」という機能も追加された。
これは、保護リストに登録したフォルダーへは、信頼できるアプリのみがファイルを変更できるように制限する機能だ。怪しいアプリがファイルを書き換えようとしてもブロックしてくれるため、ファイルを勝手に書き換えるランサムウェア、ワームなどの被害を食い止める効果が期待できる。
なお、信頼できるアプリの幅は広いようで、フリーソフトを含め、アクセスが拒否されることはなかった。怪しいアプリを使わない限りは利用の妨げとならないため、大切なデータの入っているフォルダーを登録しておくといいだろう。
個人情報保護ならESET!
個人情報の漏えいは、アカウントへの不正アクセス、なりすましといった被害にとどまらず、金銭的な不正取引まで行われてしまう危険がある。また、入手した個人情報を元に、ストーカー被害、脅迫といったものが行われる可能性もある。
いくら個人が漏えいさせないように気を付けていても、個人情報を預けているサービス提供側から漏れてしまっては防ぎようがない。しかし、こういった時でも、IDやパスワード管理がしっかりしていれば、慌てずに済む。
被害をなるべく少なくしたいのであれば、漏えい発覚後すぐに対処するのが効果的。ダークウェブを監視するESETの「個人情報漏えい監視」で漏えいをいち早く見つけ、素早く対処できるようにしたい。
週刊アスキーの最新情報を購読しよう