Doxxing(ドクシング)とは?危険性についてわかりやすく解説
Doxxing(ドクシング)は、サイバー犯罪における概念のひとつです。具体的には特定の人物に関する情報を収集し、インターネット上で無断で晒されるという意味があります。たとえば、SNS内にある各ユーザーが投稿した写真や動画には、撮影した位置情報を知らせるジオタグがそれぞれついており、それを見れば一瞬であなたがいつどこにいるのかを誰でも知ることができてしまいます。サイバー犯罪者達はそういった情報をもとに、特定の人物のプライベートな情報を盗み出し、オンライン上で勝手に公開させてしまうのです。今回は、Doxxingをされると起きること、サイバー犯罪者達のメリット、そして被害に遭わないために取るべき対策について解説します。
Doxxingとは?
Doxxing(またはDoxing)とは、オンライン上におけるハラスメントの形態のうちのひとつで、日本語では「ドクシング」と呼ばれています。また、「Doxxing」という言葉は、「document」または「dox(名前や電話番号、住所、メールアドレス、パスワード、など、オンラインとオフラインの両方で人々が残したあらゆる情報)」という単語が由来で、ある特定の人物に関する大量の重要情報を集めて悪意を持ってインターネットへ公開することを意味します。
日本国内では、一般的に「晒し」という行為がDoxxingに該当します。サイバー犯罪者達は、被害者の同意なしに氏名や住所、電話番号、写真などの個人を特定できる情報を検索して収集し、その後インターネットなどで公開したり、共有するというDoxxingと呼ばれる行為を行ないます。さらに流出した情報を利用した他の人々から深刻な嫌がらせを受ける可能性もあります。
悪意のあるハッカー達は匿名性を保ちながら、日々Doxxingに勤しんでおり、現代における深刻なサイバー脅威のひとつといえます。現在、Doxxingは主にオンラインいじめや、オンラインゲームの愛好者同士による報復のためによって行われている傾向があります。たとえば、SNSに投稿した内容が気に入らなかったり、あるいはオンラインゲームで負けて嫌気がさしたりなどという理由で、何者かが相手やその家族の個人情報を晒してしまうケースもあります。普段から深く考えずにSNS上で自分や家族の写真を投稿していて、情報が入手可能な状態であれば、誰でもDoxxingの被害者になる可能性があるのです。
Doxxingの危険性
Doxxingが危険なのは、被害者を怖がらせたり、悩ませたりという精神的ダメージにフォーカスしている点です。他のサイバー犯罪と比べてDoxxingは報復という面が強く、攻撃者は気に入らない相手の個人情報を、誰でも閲覧可能なネット上に晒すことで、相手のメンタル面にダメージを与えることで満足感を得ようとします。
一度Doxxingの被害に遭って個人情報が晒された場合、被害者は加害者が自分のプライベートを全て把握しているのではないかと錯覚するようになり、常に恐怖感を感じ、鬱やその他の精神的な病に陥ってしまう可能性があります。
最近では、Doxxingで単に被害者を辱めるだけにとどまらず、金銭的な要求をしてくるサイバー犯罪者もいます。また、Doxxingで得た情報をダークウェブで販売し、購入したサイバー犯罪者がなりすましをして金融詐欺などを働く事件も起きています。このように、Doxxingは相手への精神的なダメージを与えるだけでなく、金銭的な被害もあるのが現在の傾向といえます。
Doxxingの仕組み
ここからは、Doxxingの仕組みについて理解するためにDoxxingで使われている最も一般的な手法を紹介します。
Wi-Fi(通信情報)の傍受
公衆Wi-Fiは、セキュリティ面が非常に脆弱です。Doxxingを行なう攻撃者は、簡単にインターネット接続を傍受し、閲覧しているウェブサイトなどのリアルタイムデータを見ることができてしまいます。これはつまり、ログイン情報やパスワードなどの機密データが漏えいする危険性が高いことを意味しています。
ファイルのメタデータの分析
各ファイルのメタデータを見るだけで、攻撃者はファイルの保持者について多くの情報を得ることができます。たとえば、ワードファイルの「プロパティ」>「詳細」を見れば、誰がいつどこでファイルを作成し、誰が編集したかがわかります。
同様に写真にはEXIFデータがありますが、これは撮影に使われたスマートフォンやカメラの機種、解像度、撮影時刻がわかります。さらには、撮影時にGPSが有効になっていれば、撮影した場所の位置情報も付与されます。
IPロギング
悪意のあるハッカーは、目に見えないコードであるIPロガーをメールやメッセージを使って、デバイスに送り込み、IPアドレスをこっそり取得しています。IPアドレスから位置情報を特定することができ、これにより、国、地域、都市、州や県、郵便番号、といった情報をすぐに割り出すことができます。
Doxxingの合法性
Doxxingの合法性、もしくは違法性に関しては、インターネットユーザーが住んでいる国によって異なります。アメリカ国内の州によっては、意図的に誰かの評判を傷つけたり、危険にさらしたりする場合は、厳しく取り締まる連邦法や州法が存在します。ヨーロッパの多くの国でも、情報が個人的で、ターゲットのプライバシーやセキュリティを侵害する場合には、Doxxingを違法とみなしています。
一方、日本国内ではインターネット上で他人の情報を勝手に晒す誹謗中傷やネットいじめ、ネットストーカーが深刻な問題となっており、被害者の中には精神的に耐えられず、自ら命を絶ってしまうケースもあります。こういったインターネット上での晒し行為がプライバシー権の侵害や肖像権侵害、リベンジポルノ防止法違反等に該当する場合は、損害賠償を請求することが可能です。しかし、インターネット上での投稿者が特定できていない場合は、発信者情報開示請求などの手続きが必要になります。
自分自身にDoxxing攻撃を仕掛けられるのか?
Doxxingは、あなたの個人情報がインターネット上にどれだけあるかを知るための最良の方法で、オンライン上で公開されたくない情報をすべて削除することが可能です。
まずは安全な検索エンジンで、自分の名前を検索してみましょう。ほとんどのSNSのアカウントでは、名前をニックネームに変えるなど、できることはそんなに多くはありませんが、検索エンジンから自分のプロフィールを隠すことも可能です。例えば、Facebookでは、「Facebook以外の検索エンジンにあなたのプロフィールをリンクさせますか?」という項目があります。
次にターゲット検索を行います。実際の住所や電話番号、メールアドレス、過去に使用した覚えのあるニックネームを検索し、自分の名前がそれらの情報と関連しているかどうかを確認します。データブローカーのウェブサイトには、名前、住所、位置情報の履歴、電話番号などオンライン上での個人情報が1つのファイルにまとめられている可能性が高いです。もし、データブローカーのサイトで自分の情報を見つけた場合は、Incogniのようなサービスを使用することで自動的に削除することができるでしょう。
そして、画像検索の結果も確認しましょう。オンライン上に写真があまりない場合は、リバース画像検索をして、掲載されるべきではない場所に掲載されていないかどうかを確認することができます。
仮にネット上で自分の情報を見つけた場合は、EU内であればGDPRの規則により、ウェブサイトから個人データを消去するよう要求することができますが、他の地域ではそれほど簡単ではありません。しかし、ウェブサイトに対して情報の削除を求めることで、多くのウェブサイトはそれに同意する可能性が高いといえます。このように自分に関するどのような情報がオンライン上で入手可能かどうかを知ることで、今後オンライン上での登録や投稿する際により慎重になることができるでしょう。
Doxxingを防ぐ方法
こちらでは、Doxxingを避けるため、またはリスクを最小限に抑えるための対策を紹介します。
1.オンライン上で共有する情報を制限する
Doxxingの被害に遭わないための一番の対策は、オンライン上で共有する情報を制限することです。特にSNSでのプロフィールや投稿の公開範囲を制限することは重要で、それによって個人情報を保護することができます。
2.コメントする前にもう一度考える
匿名のコメントを投稿できるニュースサイトは、コメントをしたあなたのIPアドレスなどのデータを収集します。もし、ウェブサイト内でコメントをしたい場合は、個人情報の盗難に繋がる可能性のある情報は決して入力しないで、SNSのアカウントを使用してログインせず、VPNを使用してIPアドレスを変更するようにしましょう。
3.データブローカーのウェブサイトから削除する
データブローカーはインターネット上で個人の様々なデータを収集し、企業などに販売しています。それを削除することもできますが、彼らはこれらの個人データからお金を稼ぐので、削除するまでプロセスが長くなり、ストレスが溜まる可能性があります。
あなたのデータがそのようなウェブサイトにあるかを確認するためには、incogniで調べてみましょう。incogniは、現在はアメリカ、イギリス、ヨーロッパ、スイス、カナダでのみで利用可能です。
incogniでデータブローカーのウェブサイトから個人情報を削除
詳細はこちら4.パスワードの保護
サイバー犯罪者達がSNSなどのアカウントに侵入する最も初歩的な方法はパスワードを盗むことです。この脅威からアカウントを保護するためには、より独自性のある強力なパスワードを設定することをおすすめします。なかでもNordPassは、ランダムに強力なパスワードを生成することができるので、各アカウントのパスワードが全て似通ったようなものになってしまう心配もありません。加えてNordPassは、暗号化された保管庫にパスワードを保存することで安全性が高まり、あなたの代わりにパスワードを記憶してくれる優れたパスワード管理ツールです。
そして、パスワードは可能な限り2段階認証を有効にしましょう。これは、たとえサイバー犯罪者があなたのパスワードを手に入れた場合でも、次の認証手順で引っかかり、ログインすることを拒むためです。ただし、SMSはSIMスワップ攻撃に弱いので、2段階認証方法として利用するのは避けましょう。
5.バーチャルプライベートネットワーク(VPN)を利用する
最も効果的なセキュリティ対策のひとつがVPN接続です。オンライン上でのデータ通信を暗号化し、実際のIPアドレスを隠すことができるので、何者かに個人情報を盗み見されることもなく、安全にオンラインゲームを楽しむことができるしょう。また、カフェや駅など公共の場所で接続できる無料Wi-Fiはセキュリティ面が脆弱で危険性が高いので、必ずVPNに接続してから使用するようにしましょう。
そして、VPNサービスを選ぶ際は、NordVPNのような総合的に優れたセキュリティサービスを搭載しているものを選びましょう。NordVPNのプラス・コンプリートプランには、マルウェアをホストする危険なウェブサイトから保護したり、個人情報へのアクセスなどのDoxxingを防ぐ広告をブロックしたりする脅威対策Proが搭載されており、NordVPNのベーシックプランの場合は脅威対策が利用可能です。