第27回「漏れたデータはどうなる？」
～ダークウェブで売られ、攻撃に使われるまで～

漏洩は終わりではなく、新たなサイバー攻撃の始まり

サイバー攻撃などで企業の情報が漏洩してしまっても、それは“終わり”ではありません。そこから始まる新たなサイバー攻撃のシナリオがあります。近年では、漏洩した情報が複数の攻撃に再利用される傾向があり、被害が長期化する事例も報告されています。

このような被害を防ぐためにも、漏洩した情報が「ダークウェブ」で売られ、悪用されるまでの一連の流れを把握し、どのような対策を講じておかなければならないのかを知っておきましょう。

ダークウェブとは何か？

ダークウェブはインターネットの一部ですが、通常のブラウザや検索エンジンではたどり着くことができない、特別なブラウザでのみアクセスできるサイバー空間です。元はアメリカ海軍の研究機関によって、政府関係者がインターネット上で匿名性を保ちながら通信できるようにするために開発されました。

しかし、その匿名性の高さからサイバー犯罪者に悪用されることが多く、以下のような情報を取り扱う違法な取引も行われています。

一般企業で起きた情報漏洩においても、攻撃者によってダークウェブに情報が持ち込まれ、世界中のサイバー犯罪者に向けて商品として取引されてしまうのです。

どんなデータが狙われているのか？

ダークウェブで売られた情報はどのように使われるのか？

ダークウェブでは「○○企業の管理者アカウントを数万円で」などと販売され、興味を持った攻撃者が購入します。支払いには、匿名性が高く追跡が困難になるように暗号資産（仮想通貨）が使われています。このような取引では、売り手も買い手も犯罪者であることから、互いに信頼が重要になってきます。例えば、売り手は情報が本物であることを示すためにサンプルデータなどを公開することもありますが、もちろんこれらの売買行為は日本を含む多くの国で明確な違法行為となります。

そして入手した情報を使って、不正ログインやなりすまし、社内ネットワークへの侵入を試みます。特に多いのは、以下のような攻撃です。

日本の中小企業は狙われやすいのか？

「うちは小さな会社だから大丈夫！」というのは、攻撃者にとっては好都合な油断となります。

ダークウェブというと、どこか遠いところで起きている話のように思うかもしれませんが、中小企業にも大きく関わりのあることです。

中小企業は大企業に比べてセキュリティ対策が甘いことが多く、なおかつサプライチェーンに連なる中小企業を狙うことで、大企業に対する攻撃の足掛かりにする手法も珍しくありません。

特に次のような傾向にある企業は要注意です。

情報漏洩を防ぐために何をすべきか？

1 パスワードの使い回し禁止と2要素認証（MFA）の導入

IDとパスワードだけの認証では、漏洩情報からの不正アクセスを防ぐことができません。スマートフォンなどを使った2要素認証やMFA（Multi-Factor Authentication）を利用するようにしましょう。

PCやシステムのアカウントだけではなく、ネットワーク機器などのアカウントにも注意が必要です。

2 IT資産の見える化（ASM）

自社が保有するIT資産を洗い出し、管理できていない「抜け漏れ」をなくすことが大切です。

ASM（Attack Surface Management）という仕組みを活用すれば、外部から見えてしまっている資産の把握が行えます。

3 クラウド設定の見直し

誤設定されたクラウド環境は、外部から丸見えになっている可能性があります。アクセス制御の設定や2要素認証の導入を確認しましょう。

4 従業員教育の継続

標的型メール訓練などを定期的に行うことによって、最後のとりでである従業員のセキュリティリテラシーを向上させましょう。

情報漏洩は単なる一時的な事故ではありません。漏れた情報は攻撃者にとって金になる資産であり、次のサイバー攻撃の種として再利用されます。

ダークウェブ上で自社情報が流通していないかを確認する専門サービス（ダークウェブモニタリングのようなサービス）もあります。まずは自社の情報がどこで、どのように扱われているかを見直すことから始めるとよいでしょう。

（「SKYSEA Client View NEWS Vol.104」 2025年9月掲載）