ドキシング  ― 女性に対する新たなネットの脅威

ネット上で個人情報を共有する危険性、ドキシングを防ぐ方法やドキシングされた場合の対応について解説します。

ネット上で個人情報を共有する危険性、ドキシングを防ぐ方法やドキシングされた場合の対応について解説します。

ネットいじめやネットストーカー ― インターネットのユーザー、特に女性の間で近年、深刻な問題となっています。そして女性が直面するネット上の問題の一つがドキシング(doxing)です。ドキシングとは、悪意のある攻撃者が、個人情報を本人の同意なくネット上でさらす行為を指します。他にもテクノロジーを使った嫌がらせがありますが、ドキシングもネット上だけの問題から、実生活にも影響が及ぶ可能性があります。

この問題に立ち向かうべく、カスペルスキーは最近、シンガポール女性団体協議会(SCWO)と共同でワークショップを開催しました。このワークショップの動画はこちらでご覧いただけます。ドキシングの被害に遭わないためのヒントについては、本ブログの後半へ進んでください。

ドキシングの定義、女性が被害にあうケースについて

ドキシングとは、攻撃者が特定の個人をターゲットにして、怖がらせたり、恥ずかしい思いをさせるなどの嫌がらせを目的に、個人の情報をまとめて公開する、または公開すると脅迫する行為です。こういった攻撃に特別なツールは必要ありません。ほとんどの場合、ネットで検索すれば、簡単に個人に関する情報を収集することができます。ドキシングを行う理由は様々で、恫喝、侮辱、ゆすり、制裁など、多岐にわたります。

被害者に与える影響は様々ですが、物理的な安全が脅かされるなど、極めて深刻な事態になる可能性があります。引っ越しを余儀なくされた女性もいました。例えば最近では、Twitchで動画配信するクリエーター、Wolfabelleが、ネット上でドキシングの被害に遭い、性的な要求に応えるよう脅迫を受けました。攻撃者は、この女性クリエーターの住所を特定し、性的な要求に応じなければ、住所を含む個人情報をネットで公開すると脅迫しました。攻撃者は、女性の自宅周辺を徘徊して写真を撮影し、女性に送りつけることまでしました。

また、個人情報を収集された当人以外の人が、ドキシングの被害に遭った事例も報告されています。攻撃者が収集した個人情報をなりすまし(英語でcatfish)に利用するなどです。主に他人の顔写真などを悪用して、SNSやマッチングアプリで偽のプロフィールを作成し、標的にメッセージを送信して連絡を試みます。標的にされた人は、知っている人の名前が使われたアカウントから連絡がきているため、必ずしもなりすましだと気づくとは限りません。

ドキシングは無差別な悪質行為

ドキシングは、どんな人でもターゲットにされる可能性があります。必ずしも人気配信者やセレブ、活動家とは限りません。むしろ何の問題もなく静かに暮らしていたごく普通の人が、テクノロジーを悪用した攻撃の被害者になることも少なくありません。SNSでは、アカウントを非公開にしている人が被害に遭うこともあります。

ときには、別人と誤解されて被害者になり、自分がしていないことで世間から糾弾されることもあります。オーストラリアの首都キャンベラ在住の女性、ルーシーさんが、被害者の一人です。人種差別的発言をする動画の人物と間違えられ、わずか数時間のうちにルーシーさんの個人情報が、オンライン上で拡散されました。その後、ルーシーさんとその家族はオンライン上で無数の殺害予告を受け、何週間も不安な日々を過ごすことになりました。

現実に向き合いましょう

ドキシングは、誰にでも簡単にできます。試しに、自分自身または親しい人のポートフォリオをネットで検索してみると、どれだけの情報を集めることができるか、実感できると思います。(誰かの情報を集める場合は当然、本人の同意を得ておきましょう)。その方法としては、Googleでその人物について検索したり、ソーシャルメディアなどのウェブサイトでニックネームや本名を使って調べたりします。驚くほど様々な情報を集めることができます。

自分を守るためにできること

備えあれば憂いなし。ドキシングを避けるために、役立つヒントは以下のとおりです。

プロフィールを非公開にし、誰にフォローされているかを確認します

こうすることで、少なくとも、自分の投稿が表示される相手をコントロールすることができます。ただし、プロフィールを非公開にするだけでは十分ではありません。自分が誰にフォローされているかを確かめましょう。全員、知っている人でしょうか。信用できる人たちでしょうか。その人たちは全員、あなたの投稿のスクリーンショットを撮ることができ、撮られたスクリーンショットが「非公開」の場の外に流出する可能性があることを忘れないようにしましょう。

投稿や共有の前に30秒間考えましょう

ネット上に「一時的」なものはありません。Instagramの投稿を後から削除しても、SNSのミラーサイトに保存されている可能性があります。投稿を編集した場合も、追跡可能な場合があります。もちろん、投稿を見た人が保存する可能性もあります。

オンラインで何かを投稿したり、オンラインプラットフォームで自分の情報を共有することに同意したりする前には、よく考えましょう。機微情報の場合は特に熟慮が必要です(これについては後述します)。自分がアクセスしたウェブサイトなど、自分では無意味だと思うようなことでも、ドキシングをする攻撃者がその情報をプロファイリングなどに悪用する可能性もあることを忘れないでください。

個人情報に対する理解を再確認しましょう

ドキシング被害に遭った場合、その被害はほぼ不可逆的です(ただし、その被害を最小限に抑える方法についてこの後説明します)。すべてのユーザーがまずすべきことは、個人情報への向き合い方を再確認することです。この言葉が意味することを考え直しましょう。

個人情報とは、直接的または間接的に個人を特定することができる情報、データを意味します。たとえば、写真や名字では直接的に個人を特定できますが、メールアドレスや電話番号、職場の住所なども個人の特定に役立つ場合があります。

個人情報の中にも、他人に知られたくない情報と知られてもかまわないものがあります。たとえば、特定の状況においては、信仰する宗教、民族性、健康情報などが公開されることで、深刻な問題が生じる場合があります。そのため、どこであってもこのような情報の公開に関する判断には十分な考慮が必要です。

もちろん、個人情報の保護を目的とした法律も定められています。欧州には、GDPRと呼ばれるきわめて厳格な法律があります。GDPRは、企業などの「組織」に対して個人データの取り扱いに配慮を求めるものです。しかしこの法律では、意図的にせよ無意識的にせよ、本人が自分で公開した個人情報を別の個人が収集することを禁止することはできません。

位置情報は共有しないようにします

よく行く場所や住んでいる場所に関する情報は特に機微性が高いと言えるかもしれません。実際のストーキングに悪用される可能性が高いためです。そのため、このような情報に対するアクセスはできる限り制限することが重要です。このような考え方に立って、ジオタグの使い方を考え直すのも良いでしょう。ただし、位置情報の情報源になるのは、ソーシャルメディアだけではありません。

使用しているアプリによって位置情報が公開される場合もあります。カスペルスキーの研究者の1人が使用していたジョギングアプリでは、ランニングの実績を記録することができました。その後すぐに明らかになったのは、同じアプリを使用する他のユーザーも、この研究者のランニングコースを表示できるということです。アプリでは、この情報が写真とユーザー名とともに、オンラインで共有されていました。

ここから導き出される結論はシンプルです。すべてのアプリをチェックして、必要のない位置情報の共有が行われていないかどうか確認しましょう。Appleのデバイスにはそのために役立つ機能があり、新しいアプリを初めて使用するときには、位置情報の設定について確認する画面が表示されます。ただし、アプリをすでにインストール済みの場合やApple以外のプラットフォームを使用している場合は、手動で設定を確認する必要があります。

他にも、自分ではコントロールできない情報がドキシングに悪用される場合もあります。カスペルスキーが作成したチェックリストをぜひご活用ください。

ドキシング被害に遭ったら

あなた自身や身近な人がドキシングをされた場合でも、その被害を最小限に抑えるためにできることがいくつかあります。

自分の個人情報を拡散している投稿をすべて運営側に報告します。ソーシャルメディアプラットフォームでは通常、このような情報の拡散は違反と見なされます。そのため、投稿を削除してもらえる可能性があります。また、友人にも違反を報告してもらうと、迅速に対応してもらえる場合があります。

証拠を集めます。脅迫のメールや他のユーザーによる投稿、通話など、関連するやり取りをすべて保存しておきます。すべてを詳細に記録しておくと、ソーシャルメディアだけでなく、警察にも悪用について報告する際に役立ちます。

法的機関に連絡します。近隣の警察署では、ドキシングが何かを知らない可能性もありますが、オンラインでの悪質な行為や脅迫による危険性については理解してもらえる可能性があります。知っていることをすべて伝えて、対応を求めましょう。

サポートを求めます。友人や家族に連絡して、支援を求めましょう。また、オンラインでの悪質な行為の被害者を支援する近くの非営利団体NGOに連絡してみましょう。たとえば、シンガポールであればSCWOなどです。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?