ロシア内務省は、Torネットワーク上のユーザーを識別する方法に390万ルーブル(約11万1000ドル)を支払う用意がある。
Torソフトウェアは、インターネットトラフィックを暗号化し、複数のランダムリレーを経由させることで匿名化します。これにより、ネットワーク上の潜在的な盗聴者によるトラフィックの送信元と宛先の特定を防止します。このソフトウェアは元々、米国海軍研究所のプロジェクトとして開発されましたが、現在はTorプロジェクトと呼ばれる非営利団体によって保守されています。
Torネットワークはジャーナリストや政治活動家、プライバシーを重視するユーザーの間で人気があるが、小児性愛者やその他の犯罪者が法執行機関から足跡を隠すためにも利用されてきた。
ロシア政府の調達ポータルのエントリーによると、ロシア内務省の特殊用途機器・通信科学生産協会は、Tor匿名ネットワーク上のユーザーとユーザー機器に関する技術情報を入手する方法を研究するための契約を募集している。
Tor の匿名化解除が何に使われるかは明らかではないが、入札がロシア内務省から出ているという事実は、法執行機関の捜査に役立つ可能性があることを示唆している。
FBIや他国の警察機関は過去にTorネットワーク上でホストされている違法ウェブサイトを閉鎖し、その所有者や訪問者の一部を特定した事例もある。しかし、ほとんどの場合、これらのウェブサイトの脆弱性を悪用するか、管理者がオンライン上に残したデジタルフットプリントを追跡していた。
昨年、米国国家安全保障局(NSA)の元契約職員エドワード・スノーデン氏が漏洩した秘密文書に基づくメディア報道によると、NSAと英国政府通信本部は、限られた数のTorユーザーの匿名性を解除することに成功した。しかし、彼らはTorプロトコル自体ではなく、FirefoxベースのTorブラウザの脆弱性を悪用したり、Torセッション終了後も残る追跡Cookieを利用しようとしたりしていた。
これは、第三者がユーザーの匿名性を暴く可能性のあるTorの脆弱性が存在しないことを意味するものではありません。カーネギーメロン大学のコンピュータ緊急対応チーム(CERT)の研究者2人は、来月開催されるBlack Hatセキュリティカンファレンスで、3,000ドルの予算を持つ攻撃者が数十万のTorクライアントの匿名性を暴く可能性のある脆弱性を公開する予定でした。
大学の要請により、情報の公開が承認されていなかったため、プレゼンテーションは中止されましたが、脆弱性は実際に存在するようです。Torの開発者は、問題を特定し、修正に取り組んでいると考えています。
Torユーザーを識別できる信頼できる方法は、公に知られている限りでは極めて稀であり、非常に需要が高いことを考えると、このような脆弱性は、ロシア内務省が提示した11万1000ドルよりもはるかに価値があるだろう。AppleのモバイルOS iOSを標的とした、これまで知られていなかったゼロデイ脆弱性のリモートコード実行エクスプロイトは、グレーマーケットで最大50万ドルの値がつくと報じられており、このようなエクスプロイトはおそらくもっと一般的だろう。
「誰か、提案して資金を集め、それをTor Projectに寄付して、その資金で自分が提起したまさにそのアイデアを修正する気がある人はいませんか? 面白そう!」と、あるユーザーが公式Tor-Talkメーリングリストに書き込んだ。
