匿名通信システム「Tor」ネットワークで悪意ある大量のサーバーを実行する「KAX17」とは？

インターネットへの接続経路を匿名化するシステム「Tor」は、政府の監視を受けている人々が身元を隠して通信を行ったり、政治的な検閲が行われている国の住人が外部の情報にアクセスしたりするために使われています。Torはボランティアが提供する複数のサーバーを経由することで匿名化を実現していますが、セキュリティ研究者でTorのノードオペレーターでもあるnusenu氏が、「何者かが悪意のある大量のサーバーをTorネットワーク上で実行している」との調査結果を報告しました。

Is “KAX17” performing de-anonymization Attacks against Tor Users? | by nusenu | Nov, 2021 | Medium
https://nusenu.medium.com/is-kax17-performing-de-anonymization-attacks-against-tor-users-42e566defce8

A mysterious threat actor is running hundreds of malicious Tor relays - The Record by Recorded Future
https://therecord.media/a-mysterious-threat-actor-is-running-hundreds-of-malicious-tor-relays/

Someone Is Running Hundreds of Malicious Servers on Tor Network
https://gizmodo.com/someone-is-running-hundreds-of-malicious-servers-on-the-1848156630

通常の通信システムでは、ウェブサイトにアクセスしたりメールを送信したりすると、サーバーにユーザーのIPアドレスが残るため、これを元にユーザーを割り出すことが可能です。ところがTorでは、発信元のコンピューターから目的地までの経路で複数のサーバー(リレー)を経由し、アクセス経路の出口以外は全て暗号化することにより、IPアドレスを匿名化した状態での通信を可能にしています。

Torの詳しい仕組みについては、以下の記事を読むとよくわかります。

匿名通信「Tor」はどういう仕組みなのか分かりやすく解説 - GIGAZINE

by la inventoría

そんなTorネットワークの匿名化において重要な役割を果たしているサーバーは、Torを支援するボランティアによって提供されています。Torネットワークにサーバーを追加するボランティアは、構成ミスや不正使用の報告に関連してTorの管理者や法執行機関が連絡できるよう、メールアドレスなどの連絡先をセットアップ時に含める必要があります。しかし、このルールに従わず連絡先情報を申告していないサーバーも、匿名化に十分なサーバー数を保証するためにTorネットワークに追加されることがよくあるとのこと。

セキュリティ研究者のnusenu氏は、Torネットワークにおいて「連絡先を持たない大量のサーバー」が同じアクターによって実行されていることを発見しました。「KAX17」と名付けられたこのアクターが実行するサーバーは約900台に上り、世界中のデータセンターに配置されているそうで、かなり多くのリソースを持っていることが指摘されています。

Torネットワークにおけるリレーは、ネットワークの入り口部分にあたる「ガードリレー」、中継部分にあたる「中間リレー」、終端部分にあたる「出口リレー」の3つに分けられています。KAX17が実行するサーバーの数が非常に多いため、ユーザーがTorを利用した際にガードリレーとしてKAX17のサーバーを使う確率は16％、中間リレーとして使う確率は35％、出口リレーとして使う確率は5％に達するとのこと。

一般的に、Torネットワークにおいて悪意のあるサーバーを実行する脅威アクターのほとんどは、ユーザーのトラフィックに影響を及ぼすことができる出口リレーに焦点を当てています。たとえば「BTCMITM20」という脅威アクターはトラフィック内にあるビットコインウォレットのアドレスを置き換えるため、大量の出口リレーを実行しているそうです。ところが、KAX17は主にガードリレーと中間リレーに焦点を当てている点が特徴的であり、nusenu氏はKAX17の目的が「Torユーザーに関する情報を収集すること」にある可能性を指摘しています。

nusenu氏はKAX17の目的について、「彼らが実際に非匿名化攻撃を行っているという証拠はありませんが、彼らはそれが可能な立場にあります。そして、何者かが通常のリレーが行えないほどの(意図的に曖昧な)大規模なネットワークの割合を実行しているという事実は、あらゆる種類の警鐘を鳴らすのに十分です」と述べました。

nusenu氏は2020年からKAX17のサーバーを発見する都度Torプロジェクトに報告しており、Torプロジェクトは2020年10月、2021年10月、2021年12月に、KAX17のサーバーをTorネットワークから削除したとのこと。nusenu氏によると、KAX17は過去に実行するサーバーの一部にメールアドレスを設定しており、後に同じメールアドレスでTorのリレーメーリングリストに登録し、「悪意のあるリレーを削除する」という提案に反対していたこともわかっているとのことです。