ドキシングから身を守る方法

個人情報を本人の同意なく晒す行為を「ドキシング」といいます。ドキシングに使われるツールや手段を知り、取れる対策を確認しましょう。

誰かの投稿に「いいね」をする、何かの集まりに参加する、履歴書を公開する、街頭の監視カメラに写る、…自分が取った行動に関する情報は、どこかのデータベースに蓄積されています。インターネット上での言動や実生活での行動の痕跡を残すことで自分がどれほど無防備になっているのか、気付いている人は少ないかもしれません。現代はSNSの普及もあり、多くの個人的情報がインターネット上に解放されています。

個人情報を本人の同意なく集めてインターネット上にさらす行為を「ドキシング」と言います。こういった行為は不快であるだけでなく、実生活にも影響が及びます。ドキシングの被害者は、自分に対する評判や仕事面への悪影響を被る可能性があるだけでなく、物理的な安全が脅かされる事態となることもあります。

この記事では、ドキシングというものを説明すると同時に、ドキシングの被害者にならないための対策についても触れていきます。

ドキシングの実例

ドキシングは誰の身にも降りかかる可能性があります。イメージしやすくするため、具体的な例を3つ紹介しましょう。

米国メリーランド州在住のサイクリストであるピーター・ワインバーグ(Peter Weinberg)氏は、あるとき知らない人たちから罵倒のメッセージや脅迫が続々と届き始めたのに気付きました(英語記事)。事情はこうでした—ワインバーグ氏がトレーニングで走っていたルートがトレーニングアプリによって知らぬ間に公開されており、この情報を見た誰かが、子どもに対する暴行事件が発生したときワインバーグ氏が近辺にいたと推測したのです。無実のワインバーグ氏はたちまち容疑者として吊るし上げられ、人々は彼の住所を見つけ出して公の場所に晒しました。本当のところが明らかになった後、間違った情報を正すツイートや事の真相が発信されましたが、最初に拡散された情報に比べてほとんどシェアされないという、非常にありがちな結果となっています。

シンガポールでは、ある動物愛護運動家が犬をひき逃げした自動車の持ち主の名前と住所を公開し、「彼女を懲らしめよう」と呼びかける一件がありました(英語記事)。制裁を加えようと考えた大勢の人々は、その人の職場を突き止め、その会社のFacebookページにヘイトスピーチを投稿して攻撃しました(英語記事)。ところが、事故当時にその自動車を運転していたのは別人でした。

さらに有名なところでは、元プロ野球選手のカート・シリング(Curt Schilling)氏を巻き込んだ一件があります。きっかけは、シリング氏の娘に関する不適切で攻撃的なツイートでした。シリング氏は発信者たちを突き止めると(1時間もかからなかったそうです)、それぞれに関する情報を集め、一部を自身のブログに投稿しました(英語記事)。そのうち野球界とつながりのあった者は、1日も経たないうちに球団から解雇されました。

このとおり、ドキシングに至る動機はさまざまです。犯罪を暴いているのだという意識だったり、インターネット上の敵を威嚇するためだったり。ないがしろにされた腹いせでドキシングに及ぶ場合もあります。ドキシングという現象は1990年代からありましたが、現代のドキシングは危険性を増しています。誰かのプライベートな情報を誰でも大量に入手できる今、特別な技能や権限を持っていなくてもドキシングが可能となりました。

この記事では、ドキシングの違法性や倫理面には触れません。セキュリティのエキスパートとして、私たちのすべきことは、ドキシング手法の概要を示し、ドキシングから身を守るための方法を提案することです。

ドキシングに使われる「ツール」

ドキシングがこれほど一般化しているのは、特別な知識も、大量の費用や人手も必要ないからです。ドキシングに使われるツールも、合法で誰でも利用できるツールがほとんどです。

検索エンジン

一般的な検索エンジンがあれば、個人にまつわる情報が大量に得られます。特定のWebサイトに検索範囲を絞る、ファイルの種類を限定するなどの高度な検索を行えば、目的とする情報が見つかりやすくなります。

実名を使っている場合に限らず、ハンドルネームを使っている場合でも、インターネット上での個人の習慣があぶり出される可能性があります。例えば、複数のWebサイトで同じハンドルネームを使うのはよくあることですが、情報を探している人からすると、そのハンドル名を頼りに、公開されているさまざまなリソースからその人の残したコメントや投稿を集めることができます。

SNS

SNSは、LinkedInのように用途が特化したタイプも含め、個人データの宝庫です。

リアルな情報が書いてあって公開状態になっているプロフィールは、そのままその人の身上調査書です。友達だけが見られるようになっていても、その気になれば、その人が残したコメント、所属するコミュニティ、その人の友達の投稿などを調べることで、情報の断片を集めることができます。友達申請を送ってきたのは、ヘッドハンターになりすました人かもしれません。安易に承認すると、ソーシャルエンジニアリングによって個人情報を探られる可能性があります。

ソーシャルエンジニアリング

ソーシャルエンジニアリングは、人間心理を利用して情報を入手しようとする手法で、多くの攻撃で使用される代表的な手口です。公になっている情報を足掛かりにして相手に近付き、相手から個人的な情報を引き出そうとします。相手の信用を得るため、少しばかりの事実を交えることで、話に信憑性を持たせます。例えば、銀行の担当者のふりをして相手に近付き、相手のSNS投稿などから得た個人的な情報を織り交ぜながら話を進め、重要情報を聞き出そうとするなどです。

公式サイトの情報

公的な場で活動している人たちは、インターネット上での匿名性維持に特に苦労する傾向にあります。芸能人やプロスポーツ選手がすぐに思い浮かぶと思いますが、いわゆる「一般人」もここに含まれます。

例えば、会社の公式サイトに社員の氏名や写真が公開されている場合があります。ドキシングする人は、勤務先を手がかりに、このような情報を見つけたり、支社や部門などの詳細な問い合わせ先情報を使ってその人に関する情報をもっと引き出そうとするかもしれません。こういった情報が知られても問題なさそうに思われるかもしれませんが、会社の場所が知られると物理的に接近される可能性がありますし、写真からSNSのアカウントを特定される可能性があります。

仕事関連の活動も、インターネット上に痕跡を残します。例えば、企業の創立者に関する情報は、大体どこの国でもかなり詳しく公表されているものです。

闇市場

さらに高度な手口として、不正侵入された政府機関や企業のデータベースなど、非公開の情報源が利用されることもあります。

当社の調査では、パスポートのスキャン画像(約600円~)から決済アプリのアカウント(約5,000円~)まで、さまざまな個人情報がダークネット市場で売り出されていることが分かっています。

専門のデータ収集業者

さまざまな情報源から集めた個人情報を販売する会社を「データブローカー」と呼びます。データブローカーは常習的な犯罪組織ではなく、ブローカーのデータは金融機関でも、広告代理店や人材派遣会社でも利用されています。ただ、残念なことに、データを購入する人が何者なのかをチェックするデータブローカーばかりではありません。

自分の情報が漏れてしまったとき

電子フロンティア財団サイバーセキュリティ部門ディレクターのエヴァ・ガルペリン(Eva Galperin)氏は、Wiredによる取材の中で、自分の個人情報が悪用されたことが分かったときは自分の個人情報が晒されているSNSに連絡することを提案しています(英語記事)。まずは、顧客サービスまたは技術サポートの窓口に連絡しましょう。個人情報を本人の同意なく開示する行為は通常、利用規約の違反に相当します。連絡することですべてが解決するわけではありませんが、予想される被害を抑えられるはずです。

ガルペリン氏はまた、自分のSNSアカウントをしばらく閉鎖すること、また、自分に変わって状況をウォッチしてくれる人を見つけることも推奨しています。被害をなかったことにはできませんが、気持ちを落ち着ける助けにはなるでしょうし、オンラインでのトラブルを回避するのに役立つかもしれません。

ドキシングから自分の身を守る方法

情報が漏れた後の対処に追われるより、情報が漏れるリスクを減らした方が得策です。しかし、そう簡単なことではありません。例えば、政府機関やSNSのデータベースからのデータ漏洩を自分自身がどうこうするのはほぼ不可能です。ただし、ドキシングをやりにくくすることはできます。

インターネット上に秘密を公開しない

個人情報をインターネット上に公開しないようにしましょう。特に住所、電話番号、写真を不用意にアップしないように注意してください。写真を投稿するときはジオタグが付いていないことを確認し、ドキュメントをアップロードするときには個人情報が記載されていないことを確認しましょう。

SNSのアカウント設定を確認する

SNSその他のアカウントに対し、プライバシー設定を厳しく設定してください。プロフィールは友達だけに公開し、友達リストは定期的に見直しましょう。

アカウントをハッキングから保護する

アカウントごとに違うパスワードを設定するのは、面倒かもしれませんが(管理するためのツールを使えばそうでもありません)重要な予防策です。同じパスワードをあちこちで使い回していた場合、どれか一つのアカウントのパスワードが漏洩してしまったら、プライバシー設定を厳しくしてあっても役に立ちません。

そこで、パスワードマネージャーの活用がお勧めです。カスペルスキー パスワードマネージャーの場合、パスワードだけでなく、ログインが必要なWebサイトやサービスの情報も保存しておくことができます。覚えておかなければならないのは、マスターキーだけです。

また、防御力をさらに強化するため、可能であれば2段階認証を使用することもお勧めします。

第三者アカウントでうまく立ち回る

個人の情報が含まれるSNSなどのアカウントを使ってWebサイトにサインアップするのは、できるだけ避けましょう。一つのアカウントを別のアカウントを関連付けると、情報と情報を結び付け可能になるので(例えば、自分の付けたコメントと実名が結び付けられるなど)、インターネット上での行動が追跡されやすくなります。

この問題を解決するには、少なくとも2つのメールアカウントを作成し、一つは実名アカウント用、もう一つは匿名性を維持したいWebサイト用に使い分ける方法があります。Webサイトごとに異なるハンドルネームを使えば、インターネット上でのあなたに関する言動が、簡単には収集されなくなります。

自分自身について調べてみる

自分のプライバシー状況を知る方法の一つは、自分が自分に対してドキシングを企むかのように、インターネット上で自分自身の情報を検索してみることです。こうして、自分のSNSアカウントにどんな問題があるのか、自分に関するどんな個人情報がインターネット上に存在するのかが分かります。見つかった情報から、その情報の出所を突き止められる可能性があります、調べていけば情報の削除方法も分かるかもしれません。自分の名前を含む最新の検索結果を受け取れるように、Googleアラートを設定することもできます。

自分自身に関する情報を削除する

プライバシーを侵害しているコンテンツを検索エンジンやSNSに通報して、情報の削除を依頼することができます。

SNSやその他のサービスでは、個人情報を許可なく開示することを利用規定で禁じているのが一般的です。しかし、相手が怪しいWebサイトである場合、対処できるのは法執行機関だけです。

合法のデータブローカーであれば、本人からの個人情報削除依頼に応じてくれるのが普通です。ただ、データブローカーはかなりの数に上るので、すべて削除するのは容易ではありません。一方、デジタル痕跡の削除を支援する機関やサービスもあります。やりやすさ、完璧さ、費用のバランスを自分なりに見つけて、落としどころを決める必要があります。

基本的な対策のヒント

誰でも、いつでも、ドキシングの標的になる可能性があります。はっきりした原因があってそうなることもあれば、原因がよく分からない場合もあります。インターネット上でのプライバシーを守るヒントとして、以下をぜひ参考にしてみてください。

  • 実名、住所、勤務先などの個人情報は、インターネットにアップしない。
  • SNSアカウントは部外者に対して非公開にし、強度の高いパスワードを設定し、パスワードの使い回しを避け、2段階認証を使用する。パスワードの管理には、パスワードマネージャーを使用するとよいでしょう。
  • あるサービスのアカウントにサインインする場合、別のサービスのアカウントを使ってサインインしない。「Facebookでログイン」「Googleでログイン」というログインオプションは、使わないようにしましょう。リアルな自分の情報が含まれるアカウントの場合は、特に避けた方が無難です。
  • 早めに手を打つ。自分自身に関する情報がインターネット上でどれほど見つかるのか調べてみて、自分の情報があまりにも多く登録されているサービスがあった場合は情報の削除を要請しましょう。
  • 情報だけでなく、アカウントの削除も検討する。重要なデータを維持しつつアカウントを削除する方法については、Kaspersky Dailyの各種記事を参考にしてください。

ドキシングは、どこででも手に入るインターネット上の情報が個人の実生活を侵害するという事態の、単なる一例にすぎません。ただし、その影響は大きく、誰かの人生を台無しにする可能性があります。私たちは今後も、ドキシングに関する情報や個人情報の安全のための実践的情報を発信していきます。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?