Tor プロジェクトは、匿名化ネットワーク内でビットコインを横取りする大量の出口ノードを誰か、あるいは何らかのグループが管理していることを確認し、彼らを排除しようと奮闘している。
ある観察者は、5月のある時点でTorネットワーク全体の出口容量の23%以上が1人の悪意のある人物、または1つの悪意のある人物のグループの指揮下にあり、最終目的は人々の暗号通貨を盗むことだったと見積もっている。
Torは、世界中に広がるノードのネットワークを介して、接続をランダムにルーティングすることで機能します。オープンソースのTorソフトウェアを使用して公開ウェブサイトに接続すると、接続はいくつかのノード間で中継され、多数の出口ノードの1つを経由してウェブサイトに送信されます。ウェブサイト側は特定の出口ノードからの接続のみを認識し、Torネットワークへの接続に使用したIPアドレスまでユーザーを追跡することはできません。そのため、ユーザーの匿名性は維持されます。ネットワークはアドホック方式で維持されており、ノードが参加したり離脱したりします。
重要なのは、出口ノードを運営する者は誰でも、そこを通過するトラフィックにアクセスできるということです。そのため、ウェブサイトやその他のサービスへの接続は、HTTPSやSSHなどの追加の暗号化で確実に保護することが賢明です。そうすることで、出口ノードの運営者があなたの情報を盗聴したり、インターネット経由で送信する情報を改ざんしたりすることができなくなります。(接続はTorネットワークを経由する際に、複数の暗号化レイヤーでカプセル化されます。)
不正な出口ノードのオペレーターが盗聴しているかもしれないと警戒するのは一つのことですが、誰かが Tor に多数の出口ノードを追加し、それらをすべて自分の管理下に置いた場合、それは Tor のセキュリティを弱体化させるための何らかの精巧なキャンペーンが進行中であることを意味するため、これは別の問題です。
今回のケースでは、何者か、あるいは何らかのグループが、SSLストリッピングの一種を実行する悪意のある出口ノードを追加し、暗号通貨ウェブサイト、特にビットコインミキサーサービスの訪問者を盗聴しているようです。保護されていないトラフィック中にビットコインウォレットのアドレスが検出された場合、そのアドレスは即座に書き換えられ、取引が悪意のある人物の金庫に送られ、被害者のデジタルマネーが盗まれます。
Torはブラウザの大幅な強化でオニオンサイトを強化: 安全なサイトを探すのに苦労する必要はもうない
続きを読む
出口ノードは、ブラウザに theregister.com のような URL を入力すると、通常は最初に暗号化されていない HTTP を使用してドットコムに接続しようとしますが、その後、ポート 80 の Web サイト サーバーによって、より安全で暗号化されたポート 443 の HTTPS サービスにリダイレクトされるという事実を悪用します。悪意のある出口ノードは、これらの安全でない HTTP リクエストの一部を傍受して、HTTPS で暗号化された接続にアップグレードされるのを防ぎ、転送中の保護されていないデータ、つまり Bitcoin ウォレット アドレスを改ざんします。
確かに、HTTPS Everywhereのようなブラウザに暗号化を強制するプラグインは存在しますが、誰もが使っているわけではありません。また、HTTPS以外のページに接続できない際に拡張機能がエラーを吐き出すため、しばらくすると無効化されてしまう人もいます。また、HSTS Preloadingのようなこの種の攻撃を阻止できるものもありますが、すべてのウェブサイト運営者が使っているわけではありません。そのため、Torを使用している人の中には、暗号化されていないトラフィックをこれらの悪質なノードを経由して暗号資産ミキサーに流し込み、ビットコインを盗まれる可能性があります。
これは、長年にわたりTorネットワークの健全性を監視してきた開発者Nusenu氏によるものです。彼らは今月、2020年初頭に「Torネットワークから出る接続のおよそ4分の1が、単一の攻撃者によって制御される出口リレーを経由していた」と明らかにしました。
スパイノードの背後にいる者は誰であれ、断固たる決意と執念を持っていると伝えられている。この悪意あるグループは5月末にネットワークの出口容量の23%以上を占有して検知され、Torネットワークのディレクトリから削除されたにもかかわらず、6月には約22%を占有して再び活動を開始し、再び発見されて禁止されたが、数日後には約20%を占有して再び活動を開始した。ヌセヌ氏は次のように指摘している。
「2020年は今のところ、私が約5年前に監視を開始して以来、悪意のあるTor出口リレー活動の面でおそらく最悪の年です」とヌセヌ氏は付け加えた。「私の知る限り、Torネットワーク全体の出口容量の23%以上を悪意のある攻撃者が運用しているのを発見したのは今回が初めてです。Torクライアントは通常、時間の経過とともに多くのTor出口リレーを使用するため、悪意のある出口リレーが使用される可能性は時間とともに高まります。」
進行中の戦争
Torプロジェクトは、5月と6月に悪意のあるノードを禁止するなど、数ヶ月にわたってネットワークから悪質な行為者を排除しようとしてきたことを確認したが、結局監視の脅威は再び現れた。Torチームは現在、人員不足のために困難に直面していると聞いている。4月には、新型コロナウイルス感染症のパンデミックと景気後退による資金不足のため、プロジェクトはスタッフの約3分の1にあたる13人を削減せざるを得なかった。これは、匿名化メッシュで不正行為者を監視する人員が不足していることを意味する。
Torプロジェクトの広報担当者はThe Register紙に対し、「ネットワークを監視し、悪意のあるリレーを報告してディレクトリ管理者に拒否してもらう貢献者は依然としていますが、彼らにはフルタイムでこの仕事に従事してもらうことはできません」と語った。「私たちの目標は、資金を回収し、ネットワークヘルスチームを再び健全な状態にすることです。」
Torプロジェクトは、HTTP接続の無効化も含め、悪意のある操作の軽減に取り組んでいると述べているが、同時に、信頼できない出口ノードの使用を最小限に抑える防御メカニズムを、少人数のスタッフが完成させ次第、より恒久的な解決策も検討している。これにより、突如現れ、後に悪意のあることが判明する出口リレーにも対処できるようになるはずだ。
「より根本的な方法で状況を改善する設計案も用意しています。それは、私たちが『知らない』中継局からの影響をネットワークの一部に限定することです」と広報担当者は述べた。「そうすれば、定義上、ネットワークの少なくとも50%(あるいは75%、あるいは任意の閾値)を信頼できると言えるようになります。」
その間、HTTPS Everywhere を使用し、HTTPS ダウングレード攻撃に注意し、Tor ネットワークから出るインターネット トラフィックを暗号化したままにしてください。®
