宅配業者を装ったフィッシング詐欺は、年々巧妙化してお
ドキシング(Doxing、別名ドクシング)は、脅威アクターがオンラインでターゲットに関する個人識別情報(PII)を公開することで始まります。これには、ターゲットの雇用地、自宅住所、クレジットやデビットカード番号やその他の機密情報を公開することなどがあります。脅威アクターが他人の PII を公開する目的は様々ですが、最も一般的には嫌がらせ・犯罪に関連しています。
ここでは、ドキシングについて詳しく学び、ドキシングから身を守るための対策を説明します。
ドキシングという言葉の由来
ドキシングは、1990年代に「ドキュメント」という言葉から派生しています。ドキュメントは「docs」そして「dox」と短縮されました。これは「dropping dox」に由来しています。サイバー犯罪者はdropping doxを使用し、競合する他のサイバー犯罪者の実名を公開しました。彼らは他人の実名を公開することでその匿名性を排除し、管理当局や追跡を試みている人に向けて公開しました。
ドキシングの仕組み
ドキシングは、脅威アクターがターゲットに関する情報を最大限に収集することから始まります。彼らはオンラインでターゲットの名前を検索して、公開ウェブサイトやソーシャルメディアのプラットフォームもチェックします。ソーシャルメディアをチェックするのは、ターゲットがどこで働いているのかが分かり、その情報を使って攻撃を実行できるためです。脅威アクターが方法を知っている場合は、ターゲットのIPアドレスを把握して、居住地を確認することさえできてしまいます。
脅威アクターは、潜在的なターゲットについて収集する情報が多ければ多いほど、より大きな被害をもたらす恐れがあります。ピザの宅配といった無害なドキシング攻撃もありますが、それ以外のドキシング攻撃には、オンラインハラスメント、スワッティング、個人情報の盗難、風評被害、身体的暴行、雇用の喪失やストーカー行為といったものもあります。
ドキシング攻撃のタイプ
ここでは、脅威アクターが標的をドキシングするために使用する方法をいくつかご紹介します。
フィッシング
フィッシングは、被害者をだまして機密情報を漏えいさせることを目的としたソーシャルエンジニアリング攻撃の一種です。ドキシングを試みる脅威アクターは、潜在的な被害者の情報を可能な限り収集するために、フィッシング詐欺を仕掛けてきます。
パケットスニッフィング
パケットスニッフィングとは、脅威アクターがネットワーク上を流れる機密情報を傍受し、読み取ることです。脅威アクターは、パケットスニッフィングで主にログイン認証情報、財務情報、暗号化されていないEメールメッセージなどの機密情報をターゲットにします。パケットスニッフィングは、誰もがネットワークに参加できるため、被害者が公共のWiFi に接続されている場合に最も一般的に発生します。
IP/ISP ドキシング
インターネットプロトコル(IP)ドキシング、インターネットサービスプロバイダー(ISP)ドキシングとは、脅威アクターがあなたの IPアドレスを取得し、それを使って物理的な場所を追跡することです。脅威アクターは、あなたの IPアドレスを見つけた後、ソーシャルエンジニアリングの手法を使ってISPを説得し、あなたについてより多くの情報を漏洩させることができます。
ドキシングはどれくらい一般的なのか
ドキシングは、このデジタル時代においてますます一般的になってきています。Safehome.org による 2022年の調査レポートによると、4,300万人以上のアメリカ人がドキシングを経験しています。ドキシング被害者の52%が、見知らぬ人とのオンライン上の紛争から攻撃が生じたと報告していますが、脅威アクターのうち25%は、被害者を個人的に知っていました。
ドキシングはオンライン上で活動している誰にでも起こる可能性があるため、ドキシング攻撃から身を守る方法について学ぶことが重要です。
ドキシングから身を守る方法
ドキシングから身を守る方法をいくつかご紹介します。
強力でユニークなパスワードを使用する
あなたをターゲットにドキシングしようとする脅威アクターが、オンラインアカウントに侵入しようとする場合があります。これにより、あなたの個人情報をさらに収集しやすくなり、オンラインで公開されてしまいます。アカウントとデータを保護するために、アカウントごとに強力なパスワードを常に使用し、複数のアカウントで同じパスワードを使い回さないようにしてください。
また、可能ば限り多要素認証(MFA)を有効にしておくことが推奨されます。これにより追加認証を要求し、アカウントにさらなるセキュリティレイヤーを追加します。MFAは、あなた以外の誰かがアカウントにアクセスするのを防ぎます。
デジタルフットプリントを整理する
脅威アクターは、被害者をドキシングして被害者を標的にする前に、通常、ターゲットの生活を深く知ることから始めます。これには、SNSを閲覧したり、Googleで検索したり、フィッシング詐欺を行ったり、データブローカーから情報を購入したりすることなどが含まれます。
デジタルフットプリントに関しては、単に名前を検索するだけで、あなたに関してどれほど多くの情報を見つけられるかに驚くことでしょう。デジタルフットプリントとは、オンライン活動の結果としてオンライン上に存在するあなたに関するすべての情報です。デジタルフットプリントには、IP アドレスを追跡しているサイトなど、あなたが気づいていない情報(パッシブデジタルフットプリント)と、SNSの投稿など、意図的に共有するすべての情報(アクティブデジタルフットプリント)の両方が含まれます。
デジタルフットプリントをクリーンに保ち、悪用されないよう、まずGoogleで自分の名前を検索する必要があります。自宅の住所や電話番号などの個人情報を持っているウェブサイトを見つけた場合は、表示されているサイトに連絡して、削除するよう依頼してください。デジタルフットプリントをきれいにするために取ることができる他のステップとしては、もはや使用していない古いアカウントを削除および非アクティブにする、ソーシャルメディアとデバイスのプライバシー設定を調整する、オンラインで個人情報過剰共有を避けるなどがあります。
VPNを使用する
脅威アクターがあなたをドキシングする方法の 1 つに、IPアドレスを見つけることがあります。IPアドレスがあれば、誰もがデバイスの地理的位置を知ることができます。自宅にいて、誰かがあなたの IPアドレスを追跡しているとき、彼らはあなたの自宅の住所を知っていることになります。これはプライバシーを侵害するものです。
誰かにIP アドレスを発見されないようにする最も簡単な方法は、仮想プライベートネットワーク(VPN)を使用することです。VPNは接続を暗号化し、あなたをドキシングしようとする可能性のある人からIPアドレスを隠します。
フィッシング詐欺に気付く方法を学ぶ
フィッシングはここ数年でさらに洗練されてきており、フィッシング詐欺を見破ることが困難になっています。ただし、以下のような注意すべき兆候があります。
● 稚拙な綴りと文法
● Eメール、テキストメッセージ、機密情報を公開するよう求めるポップアップ広告
● 送信者名と一致しないメールアドレス
● 未承諾リンクや添付ファイル
オンライン上に投稿するものに注意する
オンライン上で生活に関する全てのことを投稿したいと思うかもしれませんが、自分の安全を保つことが重要です。悪意を持って使用される可能性のある共有を避けてください。例えば、旅行している場合は、滞在中にどこにいるかを投稿しないようにしましょう。
さらなるセキュリティのために、SNSのプロフィールを非公開にしておくようにしましょう。これにより、見知らぬ人があなたをドキシングしようとした場合に、保護されます。
ドキシングされた場合の対処方法
ドキシングの被害に遭った場合にとるべき対象方法を以下に示します。
アカウントを保護する
最初にしなければならないことの 1 つは、まだ実行していない場合、アカウントを保護することです。パスワードを強力で固有なものに変更します。強力なパスワードを生成し、安全に保存するために、パスワードマネージャーに投資する必要があるかもしれません。パスワードマネージャーは、パスワードを安全に生成、管理、保存するのを助けるツールです。覚えておくべき唯一のパスワードはマスターパスワードのみです。
前述したように、アカウントにMFAを追加して、さらに安全性を高めるようにしましょう。優れたパスワードマネージャーは、二要素コードを保存し、必要に応じて自動入力するのに役立ちます。そのため、アカウントに2FAを追加することは不便ではありません。
攻撃についてできる限り記録する
アカウントを保護したら、ドキシング攻撃についてできる限り記録しておくと良いでしょう。スクリーンショットを撮り、可能であれば、情報が掲載されたウェブサイトの日付とURLも含めてください。これらの証拠はすべて、攻撃を報告する際に役立ちます。
攻撃を報告する
最初に攻撃を報告すべき場所は、攻撃が発生した、または発生中のウェブサイトです。こうすることにより、ウェブサイトは、攻撃に関連するコンテンツを削除すべき必要に迫られ、オンラインセキュリティにリスクをもたらしていることを知ることができます。
必要に応じて、法的執行機関に連絡する
ドキシング攻撃がエスカレートし、身体の安全や個人情報の安全を懸念している場合は、法的執行機関に連絡する必要があります。ケースによってはドキシングは違法とみなされる可能性がありますが、訴訟が違法となる脅威アクターレベルに達しているかどうかを、法的執行機関に連絡する必要があります。
まとめ:ドキシングの被害に遭わないために
ドキシングはオンラインで誰にでも起こり得る、サイバー攻撃の脅威の1つですが、被害を防ぐためにはいくつかの対策があります。まず、強力なパスワードを設定してアカウントを保護し、多要素認証(MFA)を有効にすることが重要です。また、自分のデジタルタトゥーを整理し、SNSや掲示板などで共有する情報に注意深くなることも大切です。これらの対策を実行することで、もしドキシングのターゲットにされた場合でも、そのリスクや被害を最小限に抑えることができます。この機会にKeeperパスワードマネージャーの無料30日間トライアル体験を試してみてはいかがでしょうか。