ドキシングとは？種類と対策

ドキシング（Doxing）とは、悪意を持って個人情報を収集し公開するサイバー攻撃手法です。「ドクシング」「doxxing」「d0xing」としても知られています。ドキシング攻撃は、社会保障番号、住所、電話番号、クレジットカードの詳細、その他の個人情報など、センシティブなデータを公に晒すことによって、ターゲットを恥ずかしめたり傷つけたりすることを目的として実行されます。ドクサー（Doxer）は、このデータを使用して、脅迫または恐喝を通じて何らかの方法で被害者を脅迫します。

用語「dox」は、歴史的にドクサーが公的記録ウェブサイトやソーシャルメディアプラットフォームのようなオンラインデータベースを検索して被害者に関する個人情報を収集するのが一般的であったため、「documents」（文書）という言葉から派生した俗語です。ドクサーは、被害者に近い人々などの外部ソースに連絡して、ターゲットに関するより多くのデータを得ようとすることもあります。彼らが被害者に関する十分な情報を集めると、それを直接オンラインに投稿するか、リンク共有ポータルを介して投稿します。

ドキシングは、許可なく誰かの電話番号を明かすなどの個人的ないたずらから、個人情報窃盗や詐欺などのより深刻な違反に至るまで様々です。技術の進歩により、攻撃者はウェブ上で潜在的な被害者を容易に特定できるようになりました。それらの人々が意図的に注目を集めていない場合でもです。その結果、多くの組織は現在、ドクサーによって引き起こされる潜在的な脅威に対抗するために、ファイアウォールや暗号化ソフトウェアなどの堅牢なサイバーセキュリティ対策に積極的に投資しています。

ドキシングは、個人、企業、さらには国家をもだます不法なデジタル慣行です。異なるタイプのドキシング技術を理解することによって、ITチームやサイバーセキュリティの専門家は、潜在的な脅威からネットワークを保護するための対策を講じることができます。

ドキシングは、個人や組織のプライベートデータを掘り起こし、それを公開するサイバー攻撃です。ドキシングの目的は、センシティブなデータを暴露することによって、ターゲットを恥ずかしめたり、信用を失墜させたりすることです。ドキシングは主に2つのタイプに分けることができます。

物理的ドキシング

物理的ドキシングは、特定の場所を訪れて対象者の個人情報を収集する行為を指します。これには、対象の財産の写真を撮ることや、身元を特定する情報を含む書類を探ることが含まれる場合があります。場合によっては、物理的ドクサーは、対象の動きを追跡するためにGPS追跡デバイスを使用することもあります。香港の抗議活動中に見られた例では、中国当局が抗議者の携帯電話や車両にGPSトラッカーを設置し、後に監視映像で彼らを特定しました。

オンラインドキシング

オンラインドキシングでは、攻撃者がソーシャルメディアやその他のウェブサイトから個人情報を収集し、対象者の同意なくその情報を公開します。例えば、オンラインで自分の住所を投稿したことがある場合、悪意のある人があなたの投稿やプロフィール写真を検索するだけで、どこに住んでいるかを簡単に見つけ出すことができます。

ドキシングは、公開情報の収集からソーシャルエンジニアリングのようなより高度な技術に至るまで、多くの形態を取ることができます。ドキシングは大きな懸念事項であり、軽視してはなりません。一度情報がサイバースペースに放出されると、その結果は広範囲にわたり、人々やビジネスの評判に潜在的な損害を与える可能性があります。

ドキシングの例は、些細ないたずらから深刻なプライバシーの侵害に至るまでさまざまです。ドキシングは近年ますます一般的になっているサイバーハラスメントの一種です。

ソーシャルメディアでのドキシング

典型的な例としては、誰かが無断で個人情報（自宅の住所、電話番号、メールアドレス、その他のセンシティブなデータなど）をオンラインに投稿する場合があります。これはしばしば、嫌がらせや羞恥の目的で個人を標的にするために特別に作成された偽のソーシャルメディアアカウントを使用して行われます。

関連ドキシング

別の例は、「関連ドキシング」と呼ばれるもので、これはターゲットとされたドキシング被害者との関連性に基づいて誰かの個人情報を収集することを含みます。

たとえば、ハッカーがある企業の従業員を標的にしている場合、その従業員の家族や友人についての情報を見つけ出して、企業自体に関連する機密データへのアクセスを得ようと試みるかもしれません。

ドックスウェア

ドキシングの第三のタイプは「ドックスウェア」と呼ばれ、ハッカーが被害者に支払いを要求し、その代わりに彼らのセンシティブなデータを公開しないと約束します。

ハッカーは、要求に応じない場合、被害者に対して法的措置を脅しとして使うこともあります。これは、被害者がこれらのタイプの攻撃に対して反撃するのが特に危険で困難であり、将来的に自分自身をさらなるリスクにさらすことなく戦うのが難しいことを意味します。

ハクティビズム

最後に、「ハクティビズム」として知られる政治活動キャンペーンの一環としてドキシングを使用する例もあります。これは、活動家が汚職スキャンダルなどの不道徳な活動に関与している企業や政府関係者に関連するプライベートドキュメントをオンラインに投稿するなどの公開羞恥戦術を通じて正義を求める場合です。

ハクティビズムは、不正行為に関与したとされる人々や組織の情報を公開して対象者の評判を下げるだけでなく、その情報が広く共有されることにより、ビジネスへの広範な損害を引き起こす可能性があります。

法的観点から見ると、ドキシングはしばしば複雑で議論の多い問題です。ドキシングは、個人に関するプライベートな情報をオンラインで調査し、放送することによって特徴づけられるサイバー犯罪と見なされます。しかし、ドキシングの合法性は共有される情報の種類と情報源によって異なります。

ほとんどの場所では、所有者の許可なしに機密情報を公開することは違法です。これには、住所、電話番号、メールアドレス、銀行口座の詳細などの個人データが含まれます。一部の国では、特定のタイプのセンシティブなデータ（例えば医療記録）の共有を違法とする法律がありますが、それが別の情報源によって公開されていたとしてもです。しかし、プライベートデータが長期間にわたって流通している場合、それがプライバシー規制に違反していると見なされないこともあります。

米国のコンピュータ詐欺および濫用法（CFAA）は、悪意を持ってまたは個人的利益のために無許可でコンピュータにアクセスしたり、許可されたアクセスを超えて行動したりした者に対して罰則を課します。犯罪の重大性に応じて、このタイプの犯罪に対する罰則は、最大50万ドルの罰金から長期の懲役刑までに至ります。したがって、データベースへの不法アクセスや保護されたネットワークを侵害するための悪意のあるソフトウェア/スパイウェアプログラムの使用などの活動は、法律によって厳しく禁じられており、参加者に対して重大な罰則をもたらす可能性があることを認識することが重要です。

ヨーロッパでは、一般データ保護規則（GDPR）が個人に自己のデータを制御する権利を保障しています。これには、企業が個人データを収集、保存、処理、使用、共有、削除、転送、廃棄する方法が含まれます。GDPRに違反したと判断された組織は、最大2,000万ユーロまたは全世界の年間売上高の4％（いずれか高い方）の罰金を科される可能性があります。

米国では、州が電子的に行われる脅迫活動に対して罰則を定めた法律を採用しています。これには、ドキシング攻撃の一環として行われる電子メール、テキストメッセージ、ソーシャルメディアの投稿が含まれます。これらのケースについて常に耳にするわけではありませんが、そのような活動を行うことに関連する法的な影響があり、ほとんどのシナリオでは、ドキシングは違法で罰せられる活動と見なされます。

ドキシングの影響は広範囲に及び、その結果、個人情報が露見した人々は見知らぬ人による追跡や脅迫の恐怖を経験し、心理的苦痛を感じることがあります。雇用主や同僚が同意なしに公開されたセンシティブな詳細を偶然見つけた場合、評判の損害も起こり得ます。さらに、個人情報窃盗やクレジットカード詐欺による損害から回復するための財政的コストは、人々を窮地に追い込む可能性があります。

ソーシャルメディアプラットフォーム上での脅迫や侮辱を含む直接メッセージによるサイバーハラスメントは、これらの投稿を知ることになる仲間の間で個人がけなされたと感じるような雰囲気を作り出す可能性があります。さらに、自宅の住所データを公開することでオフラインでのストーキングが可能になり、人々を身体的な危険にさらす可能性があります。

もしドキシングされた場合、あなたやあなたの組織をこれ以上の害から守るために、迅速に行動を起こすことが非常に重要です。

法執行機関に通報する

ドクサーに対応する際の最初のステップは、法執行機関に通報することです。攻撃の重大性や潜在的な脅威に応じて、法的措置が必要になる場合があるため、さらなる支援のために地元の警察に連絡することをお勧めします。攻撃者に対して刑事告訴を提起する根拠がある場合には、法的措置が必要になることがあります。

オンライン活動を監視する

攻撃者があなたやあなたの組織についての中傷的なコンテンツをオンライン上に投稿する可能性があるため、あなたのビジネスやブランドに関連するソーシャルメディアアカウントを監視することも重要です。このような事態が発生した場合は、不快な投稿やコメントを直ちに報告し、すべてのプラットフォームから削除してください。Googleアラートを設定することで、あなたの名前に関連するコンテンツがオンライン上に現れたときに通知を受け取れます。これにより、潜在的な攻撃者に先んじることができます。

データを保護する

被害を受けたユーザープロファイル（メールアドレスも含む）に関連するすべてのアカウントのパスワードを変更し、露出したデータを保護することも重要です。また、企業サーバーに保存されているすべてのセンシティブ情報が、強力な暗号化プロトコルによって保護されているか確認してください。これは、ハッカーが組織内のITが実装したデータセキュリティ対策を突破した場合でも、不正アクセスを防ぐのに役立ちます。最後に、最近企業ネットワークにアクセスしたIPアドレスを追跡し、重大な害を引き起こす前に不審な活動を検出するのに役立ててください。

予防ポリシーとシステムを導入する

サイバーセキュリティの脅威、特にドキシングに対処する際は、予防が最良の対策であることを忘れないでください。従業員のデータ管理ポリシーの作成に時間を投資し、会社のセキュリティシステムを定期的に見直すことが重要です。そうすることで、組織はネットワーク内の弱点を悪用しようとする決意のある敵によって将来的に発動される攻撃の犠牲になる可能性を最小限に抑えることができます。

ドクサーに対応する際は警戒し、必要な措置を講じることが不可欠です。警戒心を身につけた後は、自分を守るための次のステップとして、ドキシングを阻止する方法を学ぶことができます。

ドキシングに対抗するためには、オンラインセキュリティを強化し、公開される個人データの量を制限することが重要です。これを実現するためには、複数の戦略が役立ちます。

パスワード保護を強化する

ドキシング攻撃から守るためには、強力なパスワードが不可欠です。最適なセキュリティのために、パスワードは大文字と小文字の組み合わせ、数字、記号を含め、少なくとも8文字以上であるべきです。各アカウントごとに異なるパスワードを使用することは、一つのパスワードが漏洩した場合でも他のアカウントが安全であることを保証するために重要です。

パスワードのベストプラクティスについては、Proofpointのブログもチェックしてください。

多要素認証を追加する

二要素認証（2FA）と多要素認証（MFA）は、ユーザーがアカウントにアクセスする前に、ユーザー名/パスワードの組み合わせと、テキストメッセージやメール経由で送信されるコードなど、別の形式の検証を提供することを要求することで、セキュリティ層を追加します。これにより、ドキシングやその他の手段を通じて誰かの認証情報を入手したとしても、攻撃者が不正アクセスを得ることがはるかに困難になります。

オンラインで共有する情報を制限する

ドクサーから自分を守る別の方法は、オンラインで共有する個人情報を制限することです。特に、人々が位置情報、職種、趣味に関連するキーワードを使用してターゲットを探す可能性がある公共のフォーラム、ソーシャルメディアサイト、または掲示板に注意しましょう。写真を投稿する際にも注意が必要です。絶対に必要でない限り、自分の住所や勤務先を特定できるような詳細を含めないようにしてください。

情報を守ることは、あなた自身のためだけでなく、周囲の人々のためにも重要です。悪意のある行為者が個人情報を見つけるのがいかに簡単かを理解していないかもしれない友人や家族も、良好なデジタル衛生習慣について教育されるべきです。

ドクサーを検出することは、サイバー攻撃から身を守る上で重要な部分です。IT担当者、サイバーセキュリティ専門家、事業主、企業のリーダーは、潜在的な脅威を効果的に検出し対処するために、ドクサーの戦術を理解しなければなりません。

セキュリティ監視を行う

潜在的なドクサーを検出する一つの方法は、ソーシャルメディアアカウントやその他のオンラインプラットフォームを監視することです。これには、新しいフォロワーや個人や組織に関する個人情報を含む投稿など、疑わしい活動に対して定期的にプロフィールをチェックすることが含まれます。怪しい行動はすぐに報告され、必要に応じて適切な対策が講じられるようにするべきです。さらに、以前に見落とされた可能性のある脆弱性を特定するために、定期的にセキュリティ監査を実施するべきです。

トラフィックのログを分析する

ドクサーを検出するもう一つの方法は、ネットワークトラフィックのログを分析し、外部ソースからの悪意ある意図を示すかもしれない異常なパターンや活動を探ることです。例えば、単一のソースから大量のデータが送信される場合、それは組織のシステムやネットワークに関する機密情報を不正に収集しようとする試みを示唆している可能性があります。このような活動を監視することで、ITチームは企業のセキュリティ態勢にとって深刻な問題となる前に、潜在的な脅威を特定することができます。

従業員を教育する

ドキシングから身を守るために、企業は従業員に対して、オンライン上であまりにも多くの個人情報を共有しないことの重要性や、例えば金融機関のウェブサイトなどの機密アカウントにアクセスする際に強力なパスワードを使用することを教育するべきです。従業員には、見知らぬ送信者から送られてきたリンクをクリックしないように助言すべきです。これは、個人情報窃盗やフィッシングなどの他のサイバー犯罪のリスクにさらされる可能性があるためです。

ドキシングはオンラインのセキュリティとプライバシーにとって深刻な脅威です。ドキシングのリスクを軽減するためには、定期的にパスワードを変更して強化する、多要素認証を使用する、オンラインプレゼンスを監視する、ドキシング行為を検出するために従業員を訓練するといった措置を講じることが不可欠です。

Proofpointは、ドキシングのようなサイバー犯罪行為から保護するためにそのような措置を講じるのを助けることができるグローバルなサイバーセキュリティリーダーです。ProofpointとそのAI駆動技術や防御プラットフォームがドキシング、データ損失、その他のセキュリティ脅威をどのように防ぐかをぜひご覧ください。