ダークウェブを安全に見る: クラウドブラウザから Tor を使う

サーフェス、ディープ、ダークウェブの違いを整理

サーフェスウェブは、Google、Bing、DuckDuckGo がインデックスするすべてです。範囲は意外と狭く、全体の数パーセント にすぎません。ディープウェブは、ログインや ペイウォール、非公開 URL の向こうにあるすべてです。オンライン バンキング、社内 wiki、非公開の Google Doc などはここに含まれます。 秘密でも危険でもなく、ただ公開インデックスに載っていないだけです。

ダークウェブは別物です。Tor や I2P のような オーバーレイネットワーク経由でのみ到達できるサイトの小さな部分集合 です。アドレスは .com ではなく .onion で終わり、複数の暗号化された ホップを通るため、訪問者がサーバーを特定することも、サーバーが 訪問者を特定することもできません。「深い」と「暗い」は同じ意味 ではなく、この混同がこの話題で最もよくある誤解です。

この記事で「ダークウェブ」と書くときは、Tor 経由でアクセスする .onion サービスだけを指しています。特別な注意が必要なのはここだけで、 この言葉を見て多くの人が気にするのもここだけです。

自分の端末で Tor を動かすのが危ない理由

自分のノート PC に Tor をインストールするのは、.onion への一番 手っ取り早い方法に見えます。実際にはリスクを消しているのではなく、 位置をずらしているだけです。Tor ユーザーが繰り返しはまる代表的な 5 点を挙げます。

ISP には見えている。Tor は中身を暗号化しますが、 最初のノードへの接続は主要プロバイダーの公開リストに載っています。 日本、ドイツ、アメリカでは直接的な影響はあまりないものの、記録には 残り得ます。イラン、中国、ベラルーシでは、当局が訪ねてくる十分な 理由になります。

ダウンロードしたものは残る。Tor Browser は セッションを守ってくれますが、保存したものは実際のディスクに 書き込まれます。細工された PDF、Word 文書に仕込まれたスクリプト、 トラッカー入りの画像など、どれもブラウザを閉じても残ります。

フィンガープリントが漏れる。Tor Browser は フィンガープリントの大半を揃えてくれますが、アップデート、システム フォント、画面サイズ、インストール済みプラグインはすり抜けます。 詳しくは Browser Fingerprinting。

Tor の外でのワンクリックで十分。同じ OS プロファイルでメールを開いていて、受信箱の .onion リンクをクリック すれば、既定のブラウザが本物の IP で開きます。一度のルーティング ミスだけで、調査全体の匿名性が崩れます。

JavaScript の脆弱性は実在する。Mozilla の CVE-2016-9079 はおそらく最も有名な例で、FBI の Operation Pacifier で Tor ユーザーの特定に使われました。パッチが 出たのは数日後です。この種の穴は数年おきに再び現れます。自分の 端末では、その影響はずっと残ります。

クラウドブラウザのセッションで何が変わるか

クラウドブラウザはサーバー上のコンテナとして動き、手元のノート PC からは切り離されています。操作は普通のブラウザ接続経由で行ない、 Tor 通信はコンテナの中で完結します。これで弱点の位置が変わります。

ISP に見えるのは普通の TLS 接続で、相手は 有名なクラウドプロバイダー、Tor の入口ではありません。ネットワーク へのアクセスを塞がずに、いちばん目立つ手がかりが消えます。ダウンロードはセッションと一緒に消える。コンテナは RAM ベースのストレージなので、閉じれば全部なくなります。フィンガープリントはコンテナのものであって、 手元のノート PC やフォント、GPU のものではありません。

Tor セッションと通常の clearnet セッションを同時に開いても、 互いに混ざりません。別々のコンテナで、Cookie も IP も プロファイルもすべて別物です。間違ったウィンドウをクリック しても、もう身元の漏洩にはつながりません。

ただし正直に書いておくと、プロバイダーはコンテナ内の 復号済みコンテンツを見られます。ブラウザのプロセスを ホストしているからです。つまり、脅威 (ISP と端末) を別の脅威 (クラウドプロバイダー) に置き換えていることになります。大半の 脅威モデルでは割に合うトレードですが、信頼する前にプロバイダーの 所在国とログ方針を確認しておいた方が安心です。

安全なアクセスのワークフロー

典型的な調査セッションのための 6 ステップ。特別なことはありませんが、各ステップが具体的な弱点を一つずつ無効化します。

1. 1

   Tor 対応イメージで新しいクラウドセッションを開始

   Browser.lol には Tor Browser のイメージがあります。それを選び、 新しいセッションを開きます。Cookie も履歴も、以前のタブも残って いない状態です。
2. 2

   Tor が本当にルーティングしているか確認

   コンテナの中から check.torproject.org を開きます。緑色の 「Congratulations」ページが表示されるはずです。出なければ、 どこかが clearnet を通っているので、止めてやり直してください。
3. 3

   可能なら HTTPS 対応の .onion サービスを使う

   新しめの v3 .onion アドレスは通常の HTTPS に対応しています。 組み合わせると、従来の証明書信頼モデルの弱点を抱え込まずに、 エンドツーエンドの真正性が得られます。
4. 4

   JavaScript は「Safer」か「Safest」に

   Tor Browser の右上にあるシールドアイコンから設定します。 「Safer」では HTTPS でないサイトの JS が無効になります。 「Safest」ではすべてのサイトで無効になります。表示が崩れる サイトは増えますが、いちばん多いタイプの侵入経路はふさげます。
5. 5

   同じセッションで clearnet のアカウントにログインしない

   Gmail も Twitter も銀行も Reddit もダメです。ログインした 瞬間にそのセッションが実名のアイデンティティと結びつき、 匿名性のメリットはまるごと消えます。
6. 6

   終わったらセッションを閉じる

   コンテナは破棄されます。タブ、Cookie、ダウンロード、キャッシュ、 すべて消えます。次回はまたゼロから始まります。

.onion を開く真っ当な理由

見出しではマーケットプレイスばかりが取り沙汰されますが、Tor 上の 実際のトラフィックはもっと地味です。日常で実際に出くわす具体例を いくつか挙げます。

New York Times はトップページの公式 .onion ミラーを運営しています。BBC News も同様です。clearnet ドメインを ブロックする国にいる場合、ミラーは読み続ける最も簡単な手段です。

SecureDrop と GlobaLeaksは、情報源が記者に連絡するための .onion プラットフォームです。 Reuters、The Guardian、ProPublica、朝日新聞、いずれも告発者向けに 公式の SecureDrop アドレスを持っています。

Internet Archive には、地域ブロックで Wayback Machine に到達できないときに便利な .onion ミラーが あります。Tor Project、Mullvad、Riseup は メインサイトを並行して .onion でも運用しており、exit ノードを 経由せずに到達できます。

DuckDuckGo には Tor ネットワーク内からの 検索用の .onion エンドポイントがあり、Brave Search も同様です。 どちらも、毎回のクエリーが clearnet へ出ていく必要をなくします。

絶対にやってはいけないこと

このリストは道徳の話ではなく、運用の話です。どれも、本来安全だったはずのセッションを台無しにする具体的なやり方です。

clearnet のアカウントにログインしない。Gmail、Twitter、銀行、その他登録しているあらゆるサービス。 一度でもログインすれば、Tor セッション全体が実名の自分に ひもづきます。個人アカウント用のセッションは別に分けるだけで 済む話なので、必ず分けてください。

Tor Browser に警告が出たら、ダウンロードした 文書を同じセッションで開かない。トラッカー入りの PDF やマクロ付きの Office 文書は、Tor ユーザーの匿名化解除に 使われる定番の手口です。ファイルを保存し、セッションを閉じて から、別のサンドボックスで確認してください。

その辺の「onion ディレクトリ」を信用しない。多くはハニーポットで、ほかのものも廃止されたアドレスや乗っ取られた アドレスを並べているだけです。コミュニティが精査した一覧だけを 使ってください。Tor Project 公式のディレクトリや定評ある wiki が 出発点として手頃です。

知らないサイトで JavaScript を有効化しない。.onion アドレスを知っていても、運営者が善意であるとは限りません。 セキュリティレベルは高めに保ち、ページの仕様上どうしても必要で、 なおかつ運営者を信頼できるときだけ JS をオンにしてください。

本名、所在地、使い回しのユーザー名は使わない。プラットフォーム間の相関は、追跡システムにとっていちばん強力な 武器です。Reddit で使っている名前が onion フォーラムに現れれば、 ふたつのアカウントは自動的に結びつきます。

これは合法?

日本、ドイツ、スイス、アメリカ、イギリス、ほとんどの EU 諸国 では、Tor ネットワークの利用も .onion サイトへのアクセスも合法 です。そこで何をするかは別の話です。そもそも違法な素材 (児童性的虐待コンテンツ、武器、違法薬物など) を入手することは、 どんなアドレス体系を使っていようとどこでも犯罪です。

逆方向に進む国もあって、Tor ネットワーク自体をブロックしたり 犯罪化したりしています。中国とイランは網羅的にブロックし、ロシア は部分的にブロックし、湾岸諸国の一部ではアクセスが監視対象と なっています。これに対する定番の答えが、非公開の入口ノードである Tor ブリッジです。ブロックされていない地域でクラウドセッションを 使うのも、現実的な代替策のひとつです。

現地の法律を守るかどうかは自分の責任です。この記事は法的助言では ありません。Tor がブロックされている国に住んでいる場合は、使う たびに最新の法的状況を確認してください。

ミニ FAQ

実際のところ、まとめ

ダークウェブはハリウッドが描くようなものではありません。 サーバーと訪問者が、お互いの本当の IP を知らないまま出会える ようにするアドレス体系です。ジャーナリスト、内部告発者、 インターネット規制のある国に住む人々、プライバシーを大事に する普通のユーザーにとっては役に立ちます。犯罪者にとっても 便利ではありますが、自分が手を出さない限りそれは関係ない話です。

みんなが何の話をしているのかちょっと見てみたいだけなら、 最小限の手間で済みます。Tor のイメージで新しいクラウド セッションを立ち上げ、JavaScript を「Safer」にし、clearnet には ログインせず、NYTimes のミラーや DuckDuckGo の onion 検索を のぞいて、終わったらセッションを閉じる。一連の流れは 10 分も かからず、端末には何も残りません。たまの利用ならこれで十分です。 もう少し踏み込みたい人には、巻き添えを出さずに済むための 部品はもうそろっています。実務上の「匿名性」がどういう意味か もう少し知りたければ、 Anonymous Browsing: VPN, Tor, or Virtual Browsers? と Incognito Mode Is a Lie を読んでください。