Tor関連ドメインについて

Torとは

Tor(トーア)は通信経路を匿名化するために利用されるソフトで、特にプライバシーを保護したい通信に利用されますが、ランサムウェアの支払いや、反社会的なサイトへのアクセスなど、不正なものに利用されることが多くなっています。

そのため、Tor経由でのアクセスを拒否するサイトやサービス、Tor利用の痕跡があるだけで不正行為を疑われるケースもあります。

また、現在ではTorをインストールしなくてもTor専用サイトを閲覧できる迂回サービスのドメインが複数あり、ランサムウェアの支払いサイト等として利用されています。

Torの危険性

Torはインターネットの自由が制限されている国などで、外部とやり取りする際などに利用されるツールですが、日本国内では、反社会的な活動や、違法なデータのやり取り、ランサムウェア等の不正な金銭のやり取りに利用されているケースが報告されています。

また、TorソフトをインストールしなくてもTor関連サイトにアクセスできる迂回サービスが複数あり、これもランサムウェアの送金等で利用されています。

Torソフトの利用はもちろん、このような迂回サービスへのアクセスにも注意する必要があります。

Torサイトへの検知

NetStableでは、以下のシグネチャで、Torをインストールしなくてもアクセス出来る迂回サービスのドメインへの接続を検知します。

  • 2000419 onion DNS Request
  • 2000522 onion HTTP Request
  • 2000420 tor2web DNS Request
  • 2000523 tor2web HTTP Request

    • ドメイン中に”onion”や”tor2web”が含まれるTor関連ドメインが複数あり、新しいドメインも次々と誕生しているため、この文字列を含むドメインを検知しています。
    検出があった場合は、検出された端末にランサムウェアや不正なソフトがインストールされていないか確認してください。

まとめ

  • Torは日本国内では違法な用途に使われているケースが多い
  • Torをインストールしなくてもアクセス出来る迂回サービスがある
  • 該当サービスへのアクセスが検出された場合は確認が必要