WIRED / ゲッティイメージズ / ミロノフ・コンスタンチン
ダークウェブは、麻薬が売買されたり殺し屋が雇われたりする危険な場所として悪名高いですが、プライバシーを真剣に考えれば、インターネットを閲覧する安全な方法になり得ます。Torブラウザを使えば、簡単にプライバシーを守れます。
実際、Facebook、ニューヨーク・タイムズ、そして今やCIAさえもダークウェブ上にサイトを構え、Torブラウザからアクセスできる「オニオン」版のウェブサイトを運営している。CIAは安全かつ匿名で情報を収集したいと考えているが、求人情報を含むウェブサイト全体がオニオンサービス上で公開されている。
Torとは「オニオンルーター」の略で、トラフィックをランダムなノードに送り、その都度暗号化することで追跡を困難にするネットワークです。Torブラウザを介して管理・アクセスされます。これはウェブ閲覧方法としては極端なように思えるかもしれませんが、このような保護策はますます検討する価値があると、オープンプライバシーリサーチソサエティのエグゼクティブディレクター、サラ・ジェイミー・ルイス氏は述べています。「ウェブ閲覧はプライバシーとセキュリティにとって非常に有害です」と彼女は言います。「『任意の第三者が自分のコンピュータ上でコードを実行できるようにする』といった、セキュリティリスクプロファイルが最悪のものの一つであり、メタデータを保護するために設計されたことのないプロトコルが組み合わされています。Torブラウザは、ウェブ閲覧においてプライバシーを保護するための、最も悪くない選択肢であり、最高のセキュリティモードを備えています。」
ダークウェブとは何ですか?
いわゆるダークウェブについて語るとき、たいていはGoogleで検索したり標準ブラウザからアクセスしたりできない、いわゆる「オニオンサイト」のことを指しています。通常のウェブでは、www.wired.co.ukのようなドメインは、ドメインネームシステム(DNS)によって実際のIPアドレスに変換されます。
この中央管理により検閲が可能になり、検索を妨害することでサイトを事実上ウェブから排除することが可能になる。2014年にトルコの抗議者が IP アドレスを壁にスプレーペイントして、DNS サーバーを経由せずに Google に直接アクセスする方法を他者に教えたのはこのためだ。
「『ダークウェブ』や『シルクロード』といったオニオンアドレスの真髄は、こうした情報をすべて捨て去り、検閲の機会も排除することにあります」と、Open Rights Groupの理事で、Facebookやニューヨーク・タイムズのオニオンサイトを構築したセキュリティエンジニア、アレック・マフェット氏は語る。「Torネットワークは、TCP/IPインターネット上に存在する別のネットワークであり、参加するコンピューターを全く新しいネットワーク『空間』へとつなぎ合わせます。IPv4でもIPv6でもなく、『オニオン空間』です。」
Torブラウザを使って標準的なウェブサイトにアクセスすると、ユーザーには保護と匿名性が提供されます。ユーザーはTorクラウド、いわゆる「オニオンスペース」に入り、そこから仮想的に別の場所へ戻るため、身元や所在地は隠されます。しかし、Tor経由でオニオンサイトを利用することで、保護はさらに強化されます。「サイト側がウェブサイトに『ネイティブ』なTorオニオンアドレスを設定することに投資していれば、Torブラウザを使ってそのアドレスにアクセスするユーザーは、Torクラウドの保護の外に出ることはありません」とマフェット氏は言います。
これは、エンドツーエンドで暗号化されたメッセージングと同じ約束を、ウェブブラウジングやその他のコミュニケーション形式で実現したものに似ています。ただし、WhatsAppやSignalのように、接続の相手が間違いなく親友や恋人であるのとは異なり、接続先は(おそらく)お気に入りのウェブサイト…おそらく、同僚や政府がアクセスしてほしくないウェブサイトです。
CIA、ニューヨーク・タイムズ、Facebookといった組織がOnion版を保有しているのはそのためです。「Onionサイトは匿名性を重視していると思われがちですが、実際にはさらに2つの機能を提供しています。それは、強制的な機密性(雇用主やISPは、あなたが何を閲覧しているのか、どのサイトなのかさえも知ることができません。そもそもTorを使ってアクセスする必要があるのです)と信頼性です」とマフェット氏は説明します。「『facebookcorewwwi.onion』にアクセスすれば、Onionアドレスの性質上、DNSや認証局による検閲メカニズムが適用されないため、確実にFacebookに接続できます。」
Google はこれらのサイトをインデックスしていませんが、DuckDuckGo などの他の検索エンジンはインデックスしており、Muffett が運営するものも含めリストが存在するため、探しているものを見つけることができます。
Torとは何ですか?
Torネットワークを使用すると、トラフィックは暗号化され、ランダムリレーを経由してルーティングされ、そこでさらに別の暗号化レイヤーでラップされます。これは、サーキットと呼ばれる分散型ノードネットワーク(ノードはプライバシー重視のボランティアによって運営されています。皆さん、ありがとうございます)を介して3回行われます。これにより、ユーザーを追跡したり、サイトがユーザーの実際の所在地を把握したりすることが困難になります。
Torブラウザは、暗号化されたトラフィックをランダムノードに送るだけでなく、セッションごとに閲覧履歴とCookieを削除します。しかし、トラッカーに対抗するための巧妙な仕組みも備えています。同じ追跡システムを使用している2つの異なるサイトにアクセスした場合、通常は両方のサイトで追跡されます。Torブラウザはこのような監視を検知し、それぞれを異なる回線で開くことで、接続が2人の別人であるかのように見せかけます。そのため、ユーザーがいずれかのサイトにログインしたとしても、ウェブサイトはアクティビティやIDを関連付けることができません。
Torのダウンロードと使用方法
Torブラウザのおかげで、恥ずかしくなるほど簡単です。MozillaのFirefoxをベースにしたこのブラウザは、バックグラウンドであらゆる通信を隠します。「これはウェブブラウザです。ウェブブラウザのように使ってください。とても簡単です」とマフェット氏は言います。これはデスクトップ版ですが、Android版とiOS向けのOnionブラウザアプリ(サポート対象外)も存在します。
Torブラウザは他のブラウザと同じようにインストールして使用できる場合もありますが、Torがブロックされている国、Torが禁止されている企業や大学のネットワーク、あるいはより高度なセキュリティが必要な環境においては、いくつかの複雑な問題があります。セッションを開始すると、「接続」または「設定」のオプションが表示されます。後者はTorネットワークへのアクセスがブロックされている場合に選択するもので、様々な回避策が表示されます。これらの回避策には、プラガブルトランスポートと呼ばれるトラフィック難読化ツールが含まれます。このツールは、Torトラフィックがランダムであるか、またはOnionネットワークに接続しているのではなく、Amazonなどの大手ウェブサイトにアクセスしているように見せかけます。Torネットワークへの接続に問題がある場合は、これらのツールを試してみてください。
ブラウザには、検討する価値のある様々なセキュリティレベルがあります。セキュリティ設定を確認するには、左上の玉ねぎのロゴをクリックし、「セキュリティ設定」を選択してください。すると、デフォルトの「標準」、より安全、そして最も安全を選択できるスライダーが表示されます。「安全」モードでは、HTTPサイトではJavaScriptが無効になり、一部のフォントが無効になり、すべての音声と動画が自動的に再生されず、クリックして再生する必要があります。「最も安全」レベルまでスライドすると、これらの設定に加えて、すべてのサイトでJavaScriptが無効になります。
Torブラウザをダウンロードしてインストールすれば、通常のブラウザと同じようにブラウジングできますが、Muffett氏は、URLに「HTTPS」ではなく「http」のみが含まれる暗号化されていないサイトを避けるように注意を促しています。「従来のHTTPトラフィックは改ざんされる可能性があるためです」と彼は指摘しています。便利なことに、TorブラウザにはデフォルトでHTTPS Everywhereアドオンがインストールされており、セキュアバージョンが利用可能な場合は、サイトがセキュアバージョンを提供するように強制します。
Torを使ってダークウェブにアクセスする方法
Torブラウザの使い方はシンプルですが、起動するタイミングを見極めるのは少々複雑です。Torですべてのブラウジングを行うことは可能ですが、標準的なブラウザよりも速度が遅く、Torプロジェクトのコミュニケーションディレクターであるステファニー・ホワイトド氏は、この点の改善にTorプロジェクトが力を入れていると語ります。もう一つの課題はCAPTCHAです。Torは他のブラウザとは異なる動作をするため、ボットハンティングシステムが起動する可能性が高く、通常よりも多くのCAPTCHAに遭遇する可能性があることを覚悟しておく必要があります。
ホワイトド氏の経験則は、プライベートブラウジングモードやシークレットモードではなく、Torブラウザを使うことだ。「多くの人が考えているのとは反対に、これらのモードは実際にはプライバシーを保護しません」と彼女は言う。「ISP、広告主、トラッカーによるオンラインアクティビティの収集を抑制しません。ネットワークを監視している誰かがあなたがどのウェブサイトにアクセスしているかを見るのを阻止することもできません。Torブラウザなら防げます。」
セキュリティとプライバシーに関するあらゆる問題は、脅威モデル、つまり実際にどのような攻撃や侵入を心配しているかという点にかかっています。「サイトにアクセスしたいが、サイトとの間にいる誰にもアクセスしていることを知られたくない場合」と、マフェット氏はTorブラウザを使うべきタイミングについて述べています。「確かに、ほとんどの人は『ポルノ』を思い浮かべるでしょうが、性的な健康、避妊に関する質問、海外のニュース、個人情報に関する質問など、すぐに追跡されたくないプライバシー確保にも当てはまります。」
しかし、Torはオンラインでほぼ匿名であること以上のメリットがある。「私にとってTorの大きなメリットは、アクセス性です。もちろん、ある程度の匿名性はありますが、ホテルのファイアウォールの内側、空港やレストランのラウンジ、あるいは怪しい国の怪しいカフェなど、どこにいてもアクセスできることです」とマフェット氏は言う。「Torを使えば、少なくとも地元の変人が私のデジタル世界の肩越しに何を見ているかなんて心配することはないはずです。それに、ブラウザを終了すれば(ブックマークを付けたりファイルを保存したりしない限り)、すべてのデータが適切にクリーンアップされ、消去されます。」
このような場合の保護策としてVPNが推奨されることが多いが、ホワイトド氏はこれに異議を唱える。「VPNはセキュリティ上のボトルネックになりかねません」と彼女は言う。「すべてのトラフィックがVPNを通過するため、まるで新しいISPであるかのようにVPNを信頼しなければなりません。しかし、当社のソフトウェアのバックボーンは分散型ネットワークであるため、インターネットをプライベートに閲覧するためにVPNを信頼する必要はありません。」
Torは完璧ではない
インターネットには、完全にプライバシーが確保されたり安全になったりするものは存在しません。Torノードを通過するトラフィックを追跡することは可能ですが、困難です。
もちろん、オンラインで身元を明らかにした場合、人々、ウェブサイト、サードパーティのトラッカーはあなたの身元を知ることができます。「ブログのコメントに本名、メールアドレス、その他の身元を特定できる情報を投稿するだけで、うっかり情報を漏らしてしまう可能性があります」とマフェット氏は指摘します。サイトにログインしたり、何らかの方法で身元を特定したりした場合、Torブラウザには身元情報の拡散を制限する技術が備わっています。その一つが「新しいID」です。メインメニューでこれを選択すると、開いているすべてのタブとウィンドウがシャットダウンし、Cookie、履歴、Tor回路が消去されます。つまり、サイトにログインしたり、何らかの方法で身元を特定したりした場合、そのサイトが他の場所であなたを追跡するのを防ぐことができます。もう一つの同様のツールは「新しいTor回路」オプションです。これは回路をリセットし、新しい接続のように見せかけることで、追跡されにくくします。
スパイ、ハッカー、その他の敵対者がTorを標的にする方法は他にもある。ルイス氏は「ファーストコンタクト問題」を指摘する。これは、攻撃者が誰かが非プライベートなツールからプライベートなツールに移行したことを察知するものであり、内部告発者の特定に利用されてきたと指摘する。「学術的な攻撃から、国家や大企業にとって起こり得る攻撃まで、他にも無数の攻撃がある。しかし、これらの攻撃はプライバシーを通常のウェブ閲覧レベルまで低下させるものであり、多くの場合、明確に(そしてある程度の費用をかけて)標的を絞る必要があることを覚えておく必要がある。これらのツールを使用する人が増えれば増えるほど、監視コストは高くなるのだ。」
つまり、Torを使ってもオンラインで完璧な匿名性は得られないが、オンラインでの私たちの力を取り戻そうとする取り組みは存在する、とルイス氏は言う。「今日のウェブはプライバシーを敵視しており、完璧なものは存在しないことを理解し、調査を行い、Tor Project、i2p、Open Privacyといった、同意の強制をより容易にするツールを開発・維持している組織やプロジェクトを支援しましょう。」
この記事はWIRED UKで最初に公開されました。
