カペルスキーは3月11日、Tor上でおよそ900の隠れたサービスが連日稼働していると警告した。Torは、ほぼ制限を受けることのないネットに接続して動作するフリーのソフトウェア。

発表によると、Torを通じてWebサイトへのアクセス、フォーラムにおけるメッセージのやりとり、IMSでのコミュニケーションなどが行われているという。こうして見ると「一般的な」ネット利用と変わらないが、Torを利用することで、ユーザーがインターネット上で活動しているときに匿名性が守られるという点が大きく異なるという。

Torを利用することでユーザーのIPを確認することができず、ユーザーが現実世界で誰なのか特定することが容易にできなくなる。

このため、Tor上で記事を投稿するといったどのような行為も特定の個人と結びつけることができず、いわゆる疑似ドメインを使用することでサイト所有者の個人情報の特定を困難にしてしまう。そのためカスペルスキーはこのネットワークを「ダークネットリソース」と呼んでいる。

近年、サイバー犯罪者は悪意のあるインフラストラクチャをホストするためにTorを積極的に活用し始め、同社では、Tor経由で活動する機能を備えたZeusを発見している。その後、ボットネットの「ChewBacca」を検知し、Android向けTorトロイの木馬も解析している。

発表によると、Torネットワークのリソースを少し調べるだけで、C&Cサーバーや管理パネルなど、マルウェア専用のリソースがいくつも見つかるという。

Kaspersky Lab のGlobal Research and Analysis Team(GReAT)シニア・セキュリティ・リサーチャーであるセルゲイ・ロズキン氏は、「Torの中でのC&Cサーバーのホスティングは、それらを特定してブラックリスト化したり取り除くことを困難にします。マルウェアの中にTorコミュニケーションモジュールを作成することはもちろん開発者にとっての余計な作業となりますが、現在の状況について、我々は新しい Tor ベースのマルウェアの出現だと見ています。」とコメントしている。