ダークウェブにアクセスする方法 の中で一番よく知られているのはTorブラウザーを使うことです。Torのダークウェブサイトはドメインの後ろに「.onion」が付く形で、Torブラウザーを通じてのみアクセスできます。しかし、Torブラウザーを利用しなくてもダークウェブサイトにアクセスする方法があります。今回の投稿ではChromeなどの一般ブラウザーからダークウェブへアクセスする方法と実際のハッカーグループのダークウェブサイトを調査する方法について語ります。

一般ブラウザーで ダークウェブにアクセスする方法

TorブラウザーのみでアクセスできるOnionドメインに、一般ブラウザーであるChromeを通してアクセスできるでしょうか。

ダークウェブサイトのドメインの後ろに「.ly」が付いていればアクセスできます。(あくまでもアクセスが「可能」であるだけで、「安全」ではないので、実際にアクセスすることはお勧めしません。)

onion.lyドメイン はTor2Webが提供するプロキシサーバーのドメインアドレスです。Tor2WebはTorネットワークに繋げなくても標準のブラウザーでOnionサービスにアクセスできるようにするソフトウェアプロジェクトです。

ダークウェブにアクセスする方法 の1つであるTor2WebのOnion.lyプロキシサーバーの案内ページ
ダークウェブにアクセスする方法の1つであるTor2WebのOnion.lyプロキシサーバーの案内ページ

onion.lyで終わるダークウェブサイトのドメインは hxxp://abcdxxx1234[.]onion.ly のような形で、実際にアクセスするとTorブラウザーを使用したようにダークウェブサイトにアクセスすることができます。

ハッカーグループが使用する onion.lyドメイン

時々、悪名高いランサムウェア攻撃グループがこのようなonion.lyリンクを使うことを見られます。ランサムウェアに感染すると、攻撃者は身代金を要求し、自分たちの ダークウェブにアクセスする方法 の案内やリンクを伝えますが、一般ブラウザーを使う被害者がダークウェブサイトにアクセスできるようにonion.lyドメインに終わるアドレスを伝えます。関連しては、CIPブログのLockBit3.0ランサムウェア攻撃事例分析の投稿で扱ったランサムウェア攻撃のし方をご参照ください。

実際のランサムウェアハッカーグループが使うダークウェブサイトのアドレスをみるとドメインの接尾辞としてonion.lyが使われたことがわかります。

下のリンクは実際に攻撃グループが配布したランサムウェアの配布ファイルを仮想環境で設置し、要求された身代金の支払い方から見つけたリンクです。

  • Maxey Moverley
    hxxp://omegalock5zxwbhswbiscxxxxvdulyvtqqbudqousisjgc7j7yd[.]onion[.]ly
  • Blackbyte Group
    hxxp://jbeg2dct2zhku6c2vwnpxtmxxxxxnqvvpoiiwr5hxnc6wrp3uhnad[.]onion[.]ly
  • DAIXIN Team
    hxxp://7ukmkdtyxdkdivtjad57klqnd3kdsmq6tpxxxxu76zzv3jvitlqd[.]onion[.]ly
  • Everest Ransom Team
    hxxp://ransomocmou6mnbquqzxxxxjk3o5qjsl3orawojexfook2j7esad[.]onion[.]ly/about

Security OSINT検索エンジンでOnion.lyドメインを探索

前述のように、 onion.lyドメイン は一般ブラウザーを活用してダークウェブのアクセス方法の1つで、リンクさえクリックすればすぐダークウェブサイトにアクセスできます。いくつかの国ではダークウェブにアクセスすることだけで問題になりかねないです。そうでなくてもランサムウェアグループなどのハッカーが運営するダークウェブサイトにonion.lyリンクでアクセスする場合、ドメインプロバイダーから接続者のIPアドレスが把握されることができるので、また他の攻撃対象になれます。

onion.lyドメインを確認しなければならないときに、直接アクセスしなくても情報を得られる方法があります。

ダークウェブにアクセスする方法 Security OSINT検索エンジンCriminal IPドメイン検索でonion.lyドメインを検索した結果
Security OSINT検索エンジンCriminal IPドメイン検索でonion.lyドメインを検索した結果

結果をみると、悪用履歴が確認でき、フィッシングURLとして検知されたことが分かります。

また、下のように直接アクセスしなくてもリアルタイムのウェブサイトスクリーンショットを確認できます。

Criminal IP検索でonion.lyリンクを検索した結果、スクリーンショットを確認できます。
Criminal IPのドメイン検索でonion.lyリンクを検索した結果、スクリーンショットを確認できる
ドメイン検索で確認した0megaハッカーグループのダークウェブサイトスクリーンショット
ドメイン検索で確認した0megaハッカーグループのダークウェブサイトスクリーンショット

このように、必要によってダークウェブサイトを調査するとき、Torを設置しなくてもダークウェブにアクセスすることができます。

ダークウェブサイトについての分析または、特定情報を集めようとする場合、本投稿が説明したSecurity OSINT検索エンジンなどを使っていただいて情報を得ることをお勧めします。

データの提供 : Criminal IP (https://www.criminalip.io/ja)

ご参照 :

LockBit 3.0 ランサムウェア : Chromeでもダークウェブへアクセスさせる親切なハッカー