盗まれたID・パスワード、流出した顧客情報、社内文書、VPNや管理画面の認証情報。こうした情報は、企業が気づかないうちに、ダークウェブ上のフォーラムやダークマーケット、漏えい情報サイトに出回ることがあります。
多くのセキュリティツールは、社内ネットワークや端末、クラウド環境の中で起きていることを見るためのものです。一方で、攻撃者が外側で何を売買し、どの情報を探し、どの企業を狙っているのかまでは見えにくいことがあります。
そこで重要になるのが、ダークウェブモニタリングです。
これは、単に「怪しいサイトを見に行く」という話ではありません。攻撃者が活動する場所に、自社に関係する情報が出ていないかを継続的に確認し、侵害や不正利用につながる前に対応するための取り組みです。
TABLE OF CONTENTS
ダークウェブモニタリングとは
ダークウェブモニタリングとは、ダークウェブ上のフォーラム、ダークマーケット、漏えい情報サイト、Pasteサイト、Telegramチャンネルなどを継続的に調査し、盗まれた認証情報や漏えいデータ、自社に関係する脅威情報を検知する仕組みです。
主に、次のような情報を探します。
- 自社ドメインのメールアドレスとパスワード
- 従業員や顧客の個人情報
- VPN、RDP、管理画面などの認証情報
- 社内文書や契約書などの機密情報
- ソースコードやAPIキー、トークン
- 自社ブランドを悪用したフィッシングキット
- サプライヤーや取引先に関係する漏えい情報
攻撃者は、こうした情報を使って不正ログイン、フィッシング、ランサムウェア、なりすまし、サプライチェーン攻撃を仕掛けます。
ダークウェブモニタリングの目的は、被害が表面化してから気づくのではなく、攻撃に使われる前の段階で兆候を見つけることです。
まず知っておきたい、Webの3つの層
ダークウェブを理解するには、インターネットを大きく3つに分けて考えると分かりやすいです。
| 種類 | 概要 | 例 |
|---|---|---|
| サーフェスWeb | 検索エンジンで見つけられる一般的なWeb領域 | 企業サイト、ニュースサイト、公開ブログ |
| ディープWeb | 検索エンジンに表示されない、認証や制限のある領域 | メールボックス、オンラインバンキング、社内ポータル |
| ダークウェブ | Torなどの専用ソフトウェアを使ってアクセスする匿名性の高い領域 | 犯罪フォーラム、ダークマーケット、漏えい情報サイト |
ダークウェブ自体がすべて違法というわけではありません。匿名性を必要とする正当な用途もあります。
ただ、その匿名性は攻撃者にも利用されます。盗まれたデータの売買、マルウェアやフィッシングキットの共有、ランサムウェアグループによる漏えい情報の公開などが行われる場所にもなっています。
攻撃者にとっては追跡されにくく、企業側からは見えにくい。この性質が、ダークウェブモニタリングを難しくし、同時に重要なものにしています。
ダークウェブモニタリングの仕組み
ダークウェブモニタリングは、隠れたインターネット上の情報源を継続的に巡回し、自社に関係する情報を検知することで機能します。
大まかな流れは、次のようになります。
1. データ収集とクローリング
まず、監視対象となるダークウェブ上の情報源からデータを収集します。
対象には、onionサイト、犯罪フォーラム、Pasteサイト、ダークマーケット、Telegramチャンネル、漏えい情報サイトなどが含まれます。
ダークウェブ上の情報は、掲載されてすぐ削除されたり、招待制のコミュニティ内で共有されたりすることもあります。そのため、一度だけ確認すればよいものではなく、継続的に見る必要があります。
2. 脅威インテリジェンス分析
収集した情報は、そのままでは使いにくい状態です。
そこで、メールアドレス、ドメイン、ユーザー名、ファイル名、認証情報、企業名、ブランド名などを抽出し、自社の監視対象と照合します。
さらに、どこに投稿されたのか、誰が投稿したのか、既知の攻撃者やランサムウェアグループと関係があるのか、過去の漏えいデータなのか新しい情報なのか、といった文脈を付けます。
この文脈があることで、単なるキーワード一致ではなく、対応すべき脅威として判断しやすくなります。
3. 脅威ハンティング
自動化された監視だけでは拾いきれない情報もあります。
招待制フォーラム、限定的なチャネル、会話の文脈、攻撃予告、初期アクセスの販売投稿などは、人の目で確認した方がよい場面があります。
強いダークウェブモニタリングでは、自動クローリングやAIによる分析に加え、アナリストによる脅威ハンティングも重要になります。
特に、企業名が直接出ていないものの、関連するドメイン、サービス名、取引先、認証情報が含まれているケースでは、人の判断が必要です。
4. アラートと初動対応
自社に関係する情報が確認されると、アラートが発報されます。
重要なのは、アラートを出すだけで終わらせないことです。
漏えいしたものが従業員のパスワードなのか、顧客情報なのか、VPN認証情報なのか、役員名が出ている投稿なのかによって、対応する部署は変わります。
| 検知内容 | 主な対応先 | 初動例 |
|---|---|---|
| 従業員の認証情報 | 情報システム部門、SOC | パスワードリセット、MFA確認、セッション無効化 |
| 役員や経営層の情報 | 情報システム部門、法務、人事 | なりすまし対策、本人確認フローの確認 |
| 顧客情報や個人情報 | 法務、個人情報保護担当、経営層 | 影響範囲調査、通知義務の確認 |
| ブランド悪用・偽サイト | 広報、CS、セキュリティ担当 | テイクダウン、注意喚起、顧客問い合わせ対応 |
| 取引先・委託先の漏えい | 購買、法務、セキュリティ担当 | 接続経路確認、委託先への照会、権限見直し |
5. SIEM・SOAR・XDRとの連携
ダークウェブモニタリングは、単独で使うよりも、既存のセキュリティ運用とつなげた方が効果を発揮します。
たとえば、漏えいしたメールアドレスが検知された場合、そのアカウントのログイン履歴をSIEMで確認する。SOARでパスワードリセットやセッション失効の手順を自動化する。XDRで端末やネットワークの不審挙動と突き合わせる。
このように、外部で見つかった情報と社内のログを結びつけることで、単なる通知ではなく、実際の防御行動につながります。
ダークウェブで見つかりやすい情報
データ侵害が起きると、漏えいした情報は思った以上に早く地下のコミュニティに流れます。
売買されるものは、パスワードだけではありません。
- メールアドレスとパスワードの組み合わせ
- 氏名、住所、電話番号、生年月日、本人確認情報
- クレジットカード情報や銀行口座情報
- VPN、RDP、管理画面、クラウドサービスの認証情報
- セッションCookieやトークン
- 社内文書、契約書、従業員情報
- ソースコード、APIキー、設計資料
- 顧客リスト、営業資料、取引先情報
特に危険なのは、認証情報とセッション情報です。
パスワードが漏えいしてもMFAがあれば止められるケースはあります。しかし、セッションCookieやトークンが悪用されると、認証をすり抜ける形でアクセスされる可能性があります。
つまり、ダークウェブ上の漏えい情報は、すでに起きた被害の痕跡であると同時に、次の攻撃の材料でもあります。
ダークウェブモニタリングで検知できる主なリスク
認証情報の漏えい
盗まれたID・パスワードは、ダークウェブで最も頻繁に売買される情報の一つです。
攻撃者は、漏えいした認証情報を使って、メール、VPN、クラウドサービス、社内システムへログインを試みます。
一つのパスワードを複数サービスで使い回している場合、被害は一気に広がります。
サプライチェーン・取引先の漏えい
自社のセキュリティが強くても、取引先や委託先から侵入されることがあります。
委託先のVPN情報、共有アカウント、APIキー、ファイル共有リンクなどが漏えいすると、自社環境への侵入口になる可能性があります。
ダークウェブモニタリングでは、自社だけでなく、重要な取引先や委託先の露出も確認することが重要です。
ブランドなりすまし
攻撃者は、企業ブランドを使って偽サイト、偽SNSアカウント、偽ログインページを作ることがあります。
特に金融、EC、SaaS、採用、BtoBサービスでは、顧客や取引先がだまされるリスクがあります。
ダークウェブ上で自社ブランド名やドメインが不審な文脈で出ている場合、フィッシングキャンペーンの前兆かもしれません。
フィッシングキットの流通
フィッシングキットとは、偽ログインページやメール文面、収集機能などをまとめた攻撃用パッケージです。
攻撃者は、特定企業を装うキットをダークウェブ上で共有・販売することがあります。
自社ブランドを狙ったフィッシングキットが見つかれば、キャンペーンが始まる前にドメイン監視、顧客注意喚起、テイクダウン対応を準備できます。
ランサムウェアの初期アクセス販売
ランサムウェア攻撃の前段階として、侵害済みネットワークへのアクセス権が売られることがあります。
たとえば、「日本企業のVPNアクセス」「特定業種のRDPアクセス」「管理者権限付きのネットワークアクセス」といった形で売買されることがあります。
こうした投稿を早期に検知できれば、該当する認証情報の無効化、VPNログの確認、外部公開資産の点検、侵害調査に進めます。
なぜダークウェブモニタリングが重要なのか
攻撃は、社内ネットワークに侵入された瞬間から始まるわけではありません。
その前に、攻撃者は情報を集め、認証情報を買い、標的を選び、侵入経路を探しています。その一部がダークウェブ上に現れます。
ダークウェブモニタリングが重要なのは、この準備段階を見られる可能性があるからです。
- 漏えい認証情報を悪用される前にリセットできる
- セッションやトークンを無効化できる
- フィッシングキャンペーンの兆候を早く把握できる
- 取引先や委託先経由のリスクに気づける
- ランサムウェア攻撃の前兆を捉えられる可能性がある
- 広報・法務・CSの準備を早められる
セキュリティ対応では、時間が大きな差になります。
同じ漏えいでも、発見が早ければアカウントを止め、アクセスを遮断し、顧客対応を準備できます。発見が遅れれば、不正ログイン、情報窃取、ランサムウェア、なりすましへつながる可能性があります。
導入によって得られるメリット
早期検知ができる
自社に関する情報がダークウェブ上に出たとき、早く気づけることは大きなメリットです。
ニュースや取引先からの連絡で初めて知るのではなく、自社側で先に状況を把握できれば、対応の主導権を持ちやすくなります。
対応時間を短縮できる
アラートが適切な部署に届き、対応手順が決まっていれば、パスワードリセット、MFA確認、セッション無効化、ログ調査、顧客連絡の判断まで早く進められます。
ダークウェブモニタリングは、検知だけでなく、初動対応のスピードを上げるために使うものです。
コンプライアンス対応を支援できる
個人情報や機密情報が外部に流出した場合、法令や契約に基づく報告・通知が必要になることがあります。
早期に把握できれば、影響範囲の確認、法務判断、社内報告、外部への説明準備を進めやすくなります。
ブランド保護につながる
偽サイト、なりすましアカウント、フィッシングキット、自社名を使った詐欺の兆候を早めに見つけることで、顧客被害を減らせる可能性があります。
特に、顧客向けサービスやSaaS、EC、金融関連サービスでは、ブランド悪用への監視が重要です。
ダークウェブモニタリングの限界
ダークウェブモニタリングは有効な対策ですが、万能ではありません。
すべての情報を見つけられるわけではない
ダークウェブ上には、招待制のフォーラム、暗号化されたチャット、少人数のクローズドコミュニティ、個別取引などがあります。
どのツールでも、隠れたインターネットのすべてを監視することはできません。
そのため、「監視しているから漏えいは絶対に見つかる」と考えるのは危険です。
誤検知や確認が必要なアラートもある
企業名、ドメイン、ブランド名が一致しても、それが本当に自社に関係する脅威とは限りません。
部分一致、古いデータ、同名企業、一般的な単語、誤った投稿がアラートになることもあります。
アラートを正しく評価するためには、人による確認とチューニングが必要です。
アラートだけでは攻撃は止まらない
ダークウェブ上で認証情報を見つけても、対応しなければ意味がありません。
パスワードリセット、セッション無効化、MFA確認、ログ調査、アクセス権見直し、関係者への通知など、実際の対応フローにつながって初めて効果が出ます。
ダークウェブモニタリングは、単なる通知ツールではなく、インシデント対応の入口として設計する必要があります。
どのような組織に必要なのか
大企業
大企業は、従業員数、取引先、顧客データ、システム数が多く、攻撃者にとって価値の高い標的になりやすいです。
社内ツールだけでは見えない外部の露出を把握するために、ダークウェブモニタリングは有効です。
中小企業
中小企業は狙われない、ということはありません。
むしろ、専任のセキュリティ担当者や監視体制が十分でない企業は、攻撃者から見ると狙いやすい場合があります。
漏えい認証情報の早期発見は、少人数の情シス体制でも効果を出しやすい領域です。
SaaS企業
SaaS企業は、顧客データ、APIキー、管理画面、認証情報を多く扱います。
一つの侵害が、多数の顧客へ波及する可能性があるため、顧客信頼を守るうえでもダークウェブ監視は重要です。
サプライチェーンを持つ企業
委託先、販売代理店、開発パートナー、保守ベンダー、クラウドサービスなど、多くの外部組織とつながる企業では、自社だけでなく周辺のリスクも見なければなりません。
取引先の漏えい情報が、自社への侵入口になることもあります。
ダークウェブ脅威から組織を守るために
ダークウェブモニタリングは、基本的なセキュリティ対策と組み合わせてこそ効果を発揮します。
強く、使い回さないパスワードを徹底する
パスワードの使い回しは、攻撃者にとって非常に都合がよい状態です。
一つのサービスから漏えいした認証情報が、別のサービスでも使えると、被害は一気に広がります。
- パスワードマネージャーを利用する
- サービスごとに異なるパスワードを使う
- 退職者や不要アカウントを放置しない
- 漏えいが確認された場合は速やかにリセットする
多要素認証を有効化する
MFAは、漏えいしたパスワードの価値を下げる重要な対策です。
特に、メール、VPN、クラウドサービス、管理画面、リモートアクセス、開発環境では必須に近い対策です。
認証情報がダークウェブ上で見つかっても、MFAがあれば不正ログインを止められる可能性が高まります。
アラートに対する対応手順を決める
ダークウェブモニタリングのアラートは、対応手順があって初めて価値があります。
検知内容ごとに、誰が確認し、何を判断し、どの処置を行うのかを事前に決めておきます。
- 従業員認証情報が見つかった場合
- 顧客情報らしきデータが見つかった場合
- 役員名やブランド名が不審な文脈で出た場合
- 取引先の漏えいが見つかった場合
- ランサムウェア初期アクセス販売が疑われる場合
従業員へのセキュリティ教育を継続する
漏えい情報が攻撃に使われると、フィッシングやなりすましの精度が上がります。
従業員には、パスワードの使い回し、怪しいリンク、認証情報の入力、緊急の送金依頼、ファイル共有リンクへの注意を継続的に伝える必要があります。
一度研修を行って終わりではなく、実際の攻撃手口に合わせて更新していくことが大切です。
取引先や委託先のリスクも見る
自社だけ守っていても、取引先や委託先の認証情報が漏えいしていれば、そこから影響を受けることがあります。
特に、常時接続しているベンダー、保守業者、開発会社、クラウド連携先は、アクセス権を定期的に見直す必要があります。
ダークウェブモニタリングを運用に組み込む考え方
ダークウェブモニタリングは、導入すれば自動的に安全になるものではありません。
重要なのは、見つかった情報をどう扱うかです。
| 検知内容 | 確認すべきこと | 主な対応 |
|---|---|---|
| 従業員のメールアドレスとパスワード | 現行システムで使われているか、MFAが有効か | パスワードリセット、セッション無効化、ログ確認 |
| VPNやRDPの認証情報 | 該当アカウントの利用履歴、不審ログインの有無 | 即時無効化、アクセス元確認、侵害調査 |
| 顧客情報らしきデータ | 真偽、対象範囲、法的通知義務 | 法務確認、影響調査、関係者対応 |
| 自社ブランドを使う偽サイト | 実際に稼働しているか、顧客被害が出ているか | テイクダウン、注意喚起、問い合わせ対応 |
| 取引先の漏えい情報 | 自社接続や共有アカウントへの影響 | 取引先確認、権限見直し、ログ調査 |
アラートを出すだけでは、現場の負荷が増えるだけになりかねません。
対応先、優先度、判断基準、エスカレーションルールを決めておくことで、ダークウェブモニタリングは実際の防御につながります。
よくある質問
ダークウェブモニタリングとは何ですか?
ダークウェブモニタリングとは、ダークウェブ上のフォーラム、ダークマーケット、漏えい情報サイトなどを継続的に監視し、自社に関係する認証情報、機密情報、ブランド悪用、攻撃予告などを検知する取り組みです。
ダークウェブモニタリングはどのように機能しますか?
自動クローラーや分析基盤を使ってダークウェブ上の情報を収集し、自社ドメイン、メールアドレス、ブランド名、役員名、取引先名などと照合します。該当する情報が見つかった場合、内容を分析し、関係するチームへアラートを送ります。
ダークウェブモニタリングは合法ですか?
一般的に、公開されているダークウェブ上の情報を観測・収集すること自体は、システムへ不正侵入する行為とは異なります。ただし、国や地域、調査方法によって法的な扱いは変わる可能性があります。実施する場合は、違法なアクセスや取引に関与しない運用が前提です。
どのような企業に必要ですか?
従業員の認証情報、顧客情報、機密情報、取引先との接続情報を持つ組織であれば、規模に関係なく検討する価値があります。特に、大企業、SaaS企業、金融、医療、EC、サプライチェーンに関わる企業では重要度が高くなります。
自社情報が見つかった場合、最初に何をすべきですか?
まず、見つかった情報の真偽と影響範囲を確認します。認証情報であれば、パスワードリセット、セッション無効化、MFA確認、ログ調査を行います。顧客情報や個人情報の可能性がある場合は、法務・個人情報保護担当・経営層と連携し、通知義務や外部説明の要否を判断します。
漏えいを「攻撃前のサイン」として見る
ダークウェブ上に自社の情報が出ているということは、すでに何らかの形で情報が外に出ている可能性を示しています。
ただし、それを早く見つけられれば、まだできることがあります。
パスワードをリセットする。セッションを無効化する。MFAを確認する。不審ログインを調べる。偽サイトを止める。取引先との接続を見直す。顧客対応の準備をする。
ダークウェブモニタリングは、攻撃を完全に防ぐ魔法ではありません。
しかし、攻撃者が使う材料を早めに見つけ、被害が広がる前に動くための重要な視点になります。
セキュリティは、社内だけを見ていれば十分という時代ではありません。攻撃者が外側で何を見ているのか、自社の情報がどこに出ているのか。その確認を、日々の運用に組み込む価値は大きいです。
まずは、自社ドメインのメールアドレスや管理者アカウントが、過去の漏えい情報に含まれていないか。そこから見直してみるだけでも、守り方は変わってきます。
投稿者プロフィール
-
Offensive Security Engineer
15年以上の実績を持つ国際的なホワイトハッカーで、日本を拠点に活動しています。「レッドチーム」分野に精通し、脆弱性診断や模擬攻撃の設計を多数手がけてきました。現在はCyberCrewの主要メンバーとして、サイバー攻撃の対応やセキュリティ教育を通じ、企業の安全なIT環境構築を支援しています。
主な保有資格:
● Certified Red Team Specialist(CyberWarFare Labs / EC-Council)
● CEH Master(EC-Council)
● OffSec Penetration Tester(Offensive Security)
