カテゴリー: CyberAttack

ドキシング(doxing)とは何か?

Published / by draco

ブラックハッカーなどが相手を貶めるためにする行為、ドキシング(doxing)について

ドキシング(doxing)とは?

ドキシングとは、他人の個人情報(PII)を勝手にインターネット上に公開する行為です。ドキシングの目的は相手を晒してインターネット上に公開することで相手を恐怖に陥れたり、嫌がらせをするためにあります。

ドキシングに含まれる個人情報(PII)は、ハンドルネーム、名前、生年月日、電話番号、メールアドレス、住所、家族構成、社会保障番号、銀行口座、職業、SNS、IPアドレス等の個人を特定できる情報です。

ブラックハッカーなどは、情報を掴むためにOSINT(Open Source Intelligence)を使って集めたり、ハッキングフォーラム上で情報を買ったり、ソーシャルエンジニアリングを使って情報を集めます。SNSなどに載っている写真などはOSINT技術で場所を特定される可能性があるため注意が必要です。

また、主要なSNSでは画像を載せると同時にExif情報(画像に含まれる情報)は削除されますが、中には削除されない場合もあるため、ブラックハッカーなどに解析されて撮った写真の位置を特定されます。

(下記は画像ファイルのExif情報ですが、位置などは消されています)

ドキシングされると下記のようなドキシング専用のサイトで晒されます。

このようなサイトに一度乗るとドキシングされた被害者の情報はアップデートされ続けることになるので世界中の人から個人情報が閲覧可能になってしまいます。悪質なサイトの場合は、情報を消すためにお金を要求してくるなどランサムウェアと似たケースをとります。

ドキシングから身を守るために

ドキシングから身を守るのは、簡単ではあります。現在のテクノロジーがインターネットに依存しているためです。ドキシングの始まりはハンドルネームから偵察するのが主流なためインターネットを使っているユーザーのほぼ全員が被害者になりえます。

2021年6月から2022年1月にかけてTwitterのAPIに脆弱性があったために、2億人超のメールアドレス等が盗まれました。この脆弱性はホワイトハッカーによってHackeroneを通じて報告されていますが既に脆弱性が悪用されていました。2022年11月末頃にハッキングフォーラム上に約540万人のユーザーのメールアドレスや電話番号を含む個人情報が漏洩しています。(パスワードは含まれていません)

ドキシングされないためにもパスワードの使いまわしなどを避けるのをオススメします。パスワードを使いまわしているとデータ侵害があった場合にハッキングフォーラム上で売買されてクレンデンシャルスタッフィング(漏洩して盗まれたアカウント資格情報を他のサイトでも試す行為)の餌食になります。

パスワードを管理する際は、BitwardenやKeePassなどのパスワードマネージャーで管理することをオススメします。

自分のメールアドレスや普段使っているパスワードがデータ漏洩しているのかが、気になる場合は「Have I Been Pwned?」と呼ばれるサイトで調べることが出来ます。

https://haveibeenpwned.com

(データ漏洩していない場合)

(データ漏洩している場合)

また、SNS上にクリティカルな個人情報や写真を載せるのはオススメ出来ません。それらの情報を断片的に組み合わせることで、本人を特定できてしまうからです。ですが、これは個人の裁量によるため一概には言えません。何かインターネット上で行う時は、常にセキュリティリスクが存在します。

以上で説明を終わりにしたいと思います。