キヤノンMJ/サイバーセキュリティ情報局

ネットに個人情報を晒す「ドキシング」。個人情報を守るための対策は?

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「ドキシングとは?その定義とリスク、対策について解説 」を再編集したものです。

 個人情報を不正に入手してインターネットへさらす「ドキシング」は、誰にでも起こり得ることだ。ドキシングの定義とあわせ、リスクを軽減する方法を紹介する。

 この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

 ソーシャルメディアを利用するのは、どれほど危険なことなのだろうか? 素晴らしい食事を楽しんだレストランをタグ付けするのは? 誰もが、やっているはずだ。

 質問を変えてみよう。知り合ったばかりの人を、ソーシャルメディアを検索し、情報を収集しようとした経験はないだろうか? あるいは、メッセージの返信をしてくれない友人が、今何をしているか調べるのにInstagramを開いたことはないだろうか? それは、あなただけではないはずだ。多くの人が同じ行動をとっており、それがソーシャルメディアを利用する目的の1つでもある。しかし、好奇心を満たすため以外の理由で、このような情報収集を行う人もいる。そして、それがトラブルの起点となるのだ。

ドキシングの定義

 2022年6月に公開された英国の調査では、回答者のうち19%がドキシング(doxing、あるいはdoxxingと表記)の被害に遭ったと報告された。ドキシングとは、悪意のある攻撃者が被害者に恥ずかしさを感じさせたり、怖がらせたりするのを目的に、主にオンライン上で個人情報をさらす行為を意味する。

 インターネット上で漏えいされ、標的の個人情報が含まれていたファイルを意味する「文書(Documents)」の略語である「Docs」をとって、ドキシングと呼ばれるようになった。攻撃者の目的は、怖がらせる、辱める、多大なストレスを与える、あるいは金銭の要求である場合もある。純粋な復讐心や個人の正義感からくるものも考えられる。

 ドキシングは個人・集団を問わず、見知らぬ第三者から実行されるが、知人や家族によって仕掛けられる場合もある。ドキシングが危険なのは、オンライン上のいじめや、実世界でのストーキングやハラスメント、さらには暴行や殺人につながるリスクがあるからだ。

やましいことは何もない

 ソーシャルメディアにおける基本的な情報について、それを保護するよう注意している人も多い。電話番号や自宅住所といった詳細な情報は非公開にされている。それでは、ほかの情報はどうだろうか? 住んでいる街は? 働いている場所は? これらは多くの場合、公開されている。

 「だからどうした、やましいことは何もない」と言う人もいるかもしれない。有名人のリッチな生活に比べれば、自身の生活に面白いところはないと考えるからだ。しかし、注意が必要なのは、あなたを怖がらせようとする人にとっては、それがリッチな生活かどうかは関係がないという点だ。ニュースを調べるだけで、いくつかの事例が見つかる。例えば、ある企業へ悪いレビューを残した人がドキシングの標的にされた。また、アップロードされた動画に含まれていた自動車のナンバープレートから女性の身元が明かされるケースもあった。ほかには、地方紙に掲載されたコラムに対する復讐として、著者である女性の電話番号がCraigslist(インターネット掲示板)上の偽の性的な広告に利用されるケースもあった。

出典:Googleビジネスサポートフォーラム

企業に否定的なレビューを書いたら、その経営者からドキシングの標的にされました

 はじめはローカルガイドのフォーラムに質問しましたが、Googleのモデレーターの@MashaPSから、ここに案内されました。

 ある企業に否定的なレビューを残したところ、私の自宅住所を含んだ返信が書き込まれました。住所を削除する(それ以外は残す)よう依頼しましたが、同社はそれをスルーしました。

 メッセージそのものは脅迫的ではありませんでしたが、自宅住所の削除を拒否したのはドキシングが目的で、私のレビューを削除するよう促すためのものでした。

 腹立たしいのは、その経営者が残したメッセージを「報告する」ボタンが無かった点です。Googleが調査するよう依頼することもできません。

 この問題に対処してくれる人はいませんか?あるいは、そのメッセージから私の自宅住所を削除するよう、Googleに問題を報告してくれないでしょうか? ご協力に感謝します。

誰もが被害者になり得る

 ドキシングが深刻なのは、誰もが標的にされるかもしれない点だ。ソーシャルメディアのプライバシー設定を変更し、投稿の公開範囲を決めるのは自分自身であるものの、悪意のある攻撃者の悪行をすべて防ぐのは難しい。単なる退屈しのぎのために、他者の個人情報をさらす輩もいるほどだ。

 しかしここ数年、ドキシングは新たな目的で行われるようになってきた。特定の人物が悪い行いをしたり、社会的な損失を与えたりしていると加害者が感じた際に、その人に対し社会的な圧力をかけるための手段としているのだ。

 2022年7月、新型コロナワクチンの必要性を定期的に訴えていたオーストリアの医師が、コロナ禍は誰かの作り話だと信じる人々から継続的に脅迫を受けた末に自ら命を絶った。同医師は、殺害予告を送ってきた抗議者と職場で接触していた。個人情報が公にさらされてしまったため、オーストリア外の人々からも脅迫を受けるようになっていたのだ。

ドキシングをしかけ、ドキシングの被害に遭う

 2022年2月、BuzzFeed Newsは「クリプト時代の説明責任」と題した長文記事にて、Bored Ape Yacht Clubの創設者2人の個人情報を意図的に公開した。同ニュースサイトは、公開されたビジネス情報を検索し、創設者2人の個人情報を特定したとされる。今や、氏名・年齢・職業・居住地、そして、Web上にあった古い情報までも、誰もが知ることとなった。

 この記事に対する報復として、執筆にあたったジャーナリストがドキシングによる脅迫の被害に遭った。そして同記事は、事実の究明とドキシングの境界に関して重要な議論を巻き起こした。ジャーナリスト自身がドキシングの被害者となり、命に関わる脅しを受けるのだ。

出典:Twitter

 あなたについて調べさせてもらった。BAYC(Bored Ape Yacht Club)創設者に対してあなたがしたように、あなたの個人情報を大量に投稿させてもらう。居住地、職場、実家、兄弟の住所など。

 実際、あなたの実家から、それほど離れていない場所に住んでいるようだ。

 あなたは、力持ちの男性なのか?

 いや、ひ弱だ。

 残念。ガレージから重い化粧台を運び出すのに、両親が助けを必要としていたのに。

危険にさらされる若い世代

 ドキシングは、オンラインの世界で大きく広がっており、そのほかの嫌がらせと混同されるケースも多い。加えて、オンラインである時間が長ければ長いほど、ドキシングの被害に遭うリスクも高い。これはZ世代やアルファ世代(2010年代から2020年代中盤に生まれた世代)に当てはまる。

 オンラインゲームにおけるちょっとした意見の不一致や競争に起因するドキシングは、子供の場合は特に注意が必要だ。その恐怖や羞恥心が、大きなストレスとなっている可能性がある。Twitch、Steam、Discord、Robloxといったプラットフォームは、ユーザーIDとアバターでプレイヤー間の交流が行われる。こうしたことが誤った安心感を抱かせている。実際、攻撃者はわずかな手掛かりから個人情報を探り当てることができる。例えば、標的とするユーザーIDを使ってTwitterを検索し、個人情報や友達リストを手に入れてしまう。

出典:Steamディスカッションボード

 昨日、チャットした相手はDiscord上の友人だった。音声通話をした数分後、「ドキシング、ありがとう」というメッセージを残して消えた。Steamを確認すると、「そのURLを使用するユーザーはいない」というメッセージが表示された。

 問題なのは、彼が私について何を知っているのかわからないことだ。当局に連絡したいが、カナダに住んでいるから嘘の通報だと思われて取り合ってもらえないかもしれないと心配だ。

 詳細がよくわからないけど、彼らはあなたの個人情報を漏らしているのか?

 わからない。だから心配だ。彼らが持っているかもしれない情報を恐れている。例えば、誰かが私の家に乗り込んできて、頭を撃ち抜くんのではじゃないか、とか。

 問題はゲームだけとは限らない。学校両親の双方が適切なプライバシー規則を導入していなければ、動画プラットフォームやソーシャルメディアを使ったオンライン授業でもリスクがある。

ドキシングは避けられるのか?

 難しい質問だ。極論、オンライン上にまったく情報がなければ、個人情報を探るのは極めて難しい。しかし、一般的なインターネットユーザーは、何者かが何らかの理由で個人情報を漏えいしようとした際、すでに十分な情報を公開してしまっている可能性が高い。しかし幸いなことに、個人情報を収集されにくくする方法がある。

オンライン上の公開情報を整理する
・これ以上、オンラインで個人情報を共有しない
・すべてのアカウントで二要素認証(2FA)、多要素認証(MFA)を有効化する
複雑でユニークなパスワードを設定する
・ビデオ会議や通話が非公開で暗号化されているかを確認する
・知っている人から意図的に送られていることを確認するまで、不用意にリンクを開かない。疑問があれば、質問する。見知らぬ人から送られているのなら、絶対に開封しない

ドキシングの被害に遭った際の対処法

・まず、他人の悪意について自分を責めない。誰しも被害に遭うリスクがあると認識する
・嫌がらせがあった場合、プラットフォーム上で利用できる手段を使用して、攻撃者を通報し、ブロックする
・被害内容を記録するため、すべての詳細情報のスクリーンショットを撮っておく
・ソーシャルメディア・アカウントへのアクセスが限定されているのを確認する。一時停止することも検討する
・自宅住所や勤務先住所が不正に公開された場合、その状況を友人や家族に知らせる
・銀行に状況を報告する。クレジットカード情報が保護されているかを確認する
・地元警察への通報を検討する。ドキシング自体は罪に問われないかもしれないが、金銭的な詐欺行為や身体的な損害は犯罪にあたる

インターネットの未来は危険であるとは限らない

 ドキシングは深刻な問題であり、ときに誰かの人生を破壊するほどの手段となり得る。誰もが相互につながりあっているにも関わらず、それぞれの意見がより分断されていく現在の状況下では特に問題となり得る。長期的には、個人情報を不正にさらすのは、お互いに悪影響を及ぼし泥仕合の様相を呈するだろう。

 しかしこうした現状を理解するのは、将来、自分たちの身を守るために役立つ。すでにドキシングを違法とするための重要な議論が進んでいる。ドキシングの増加を食い止め、被害者を保護するようフレームワークを制定しようとしているのだ。これらの攻撃は誰にも起こり得ると理解し、オンラインで公開する個人情報に注意するのが、今私たちにできることだろう。

[引用・出典元]
What is doxing and how to protect yourself  by André Lameiras 25 Aug 2022 - 11:30 AM
https://www.welivesecurity.com/2022/08/25/what-is-doxing-how-protect-yourself/

■関連サイト

キヤノンMJ トップへ