Twitter Facebook Google+ はてなブックマーク LinkedIn

晒される個人情報-Doxingの危険な実態!

株式会社NTTデータ 技術革新統括本部 セキュリティ技術部
馮 菲

「doxing」とは特定の人物の重要な情報を集め、インターネットに公開することを指しています。本レポートは金銭目的のdoxingに焦点をあて、doxingが行われると何が起きるか、サイバー犯罪がdoxingでどのように利益を生むのか、そして取りうる対策について解説します。

「doxing」という言葉を聞いたことはありますか?一見難しく感じますが実際には簡単な概念です。基本的には、特定の人物の重要な情報を集めて、インターネットに公開することを指しています。

doxingは多くの場合報復を目的に行われてきましたが、近年では金銭的利益のために行われるようになりました。本レポートでは、後者に焦点をあて、doxingが行われると何が起きるかを説明したうえで、サイバー犯罪がdoxingビジネスの中でどのように利益を生むのか、そして取りうる対策について解説します。

1. doxingとは?

doxing(またはdoxxing)は「document」という単語が由来で、ある特定の人物に関する大量の重要情報を集めて悪意を持ってインターネットへ公開することを意味します。

一方、doxは人物の名前、社会保障番号、電話番号、住所、メールアドレス、パスワード、MACやIPアドレスなどの情報のことを指しており、doxは現実世界やオンライン上に人々が残したあらゆる情報を対象としています。doxingでは、情報の有用性よりも、被害者を怖がらせ悩ませることを重要視します。doxingは多くの場合報復のために行われます。また、ハクティビストは対象となる人物を辱めるためにdoxingを行います。この種のdoxingでは、恐怖感を作り出すことが典型的な目的となっていると言えるでしょう。

2. doxingにより何が起こるのか?

2015年の夏には、Ashley Madison(既婚者向けの出会い系サイト)からデータを盗み出したと主張するハッカーが10GB近いデータを公開しました。これにはメンバーのメールアドレス、クレジットカード利用履歴や人物のプロファイルまでもが含まれていました。ハッカーはDark Web(※1)*1へこれらの情報を公開し、それをダウンロードした人々によればさまざまな種類の興味深いうわさ話が含まれていたようです。(※2)このような方法で、doxingを行う加害者は被害者の個人空間が全面的に侵害されているとの錯覚を生み出し、「次に何が起こるかわからない」と感じさせることで恐怖感を作り出します。ニューオリンズの牧師は、Ashley Madisonのハッキングで盗まれたデータで名前が晒された後に、自死を図りました。報道によれば、彼は不倫サイトのユーザーとして晒されてしまうと、職を追われるという恐怖に苛まれたようです。(※3)

もっと危惧すべきなのは、最近はdoxingが単に被害者を辱めるだけでなく、金銭的利益が目的になってきていることです。しかも巨額の利益です。

Dark Web市場の活性化に伴い、サイバー犯罪者はdoxを重要視するようになりました。サイバー犯罪者はdoxを利用し、対象とする企業の役員や従業員を通して直接的/間接的に標的にし、ビジネスに不当に利用しています。

例えば、doxingを行う人はある企業のCEOをターゲットとし、他のサイバー犯罪者にそのdoxを販売するかもしれません。doxを購入したサイバー犯罪者がCEOになりすますのにdoxは効果的であり、BECやホエーリング(※4)と呼ばれる不正送金を目的とした高度なフィッシング行為に使われることもあります。より本物で信憑性の高いdoxであるほど、サイバー犯罪者のなりすましは成功しやすいと言えます。このようにdoxingは金融詐欺に利用されはじめており、今後はその他の様々な有害な行為に利用されることも考えられます。

  1. *1 Dark Webはインターネット上にオーバーレイネットワークで構築されたWebサイトの集まりです。Dark Web上のサイトへアクセスするためには専用ソフトTorまたはI2Pの利用必要になります。そのサイトを誰がどのサーバで運営しているかを特定することは非常に困難です。
  1. ※1 Hacker Lexicon: What is the Dark Web?
    https://www.wired.com/2014/11/hacker-lexicon-whats-dark-web/(外部リンク)
  2. ※2 The Ashley Madison Hackers Just Released a Ton of Stolen Data [Updated]
    http://gizmodo.com/the-ashley-madison-hackers-just-released-all-of-their-s-1724920693
  3. ※3 Ashley Madison Suicide? Married Baptist Teacher Exposed By Hack Takes Own Life
    http://hollywoodlife.com/2015/09/09/ashley-madison-suicide-married-baptist-pastor-john-gibson/(外部リンク)
  4. ※4 Whaling attacks likely to rise in 2016
    http://www.scmagazine.com/thar-she-blows-whaling-attacks-likely-to-rise-in-2016/article/461712(外部リンク)

3. ハッキング経済の新分野

1つのdoxはサイバー犯罪にとってさまざまな脅威を生み出すため、doxingはハッキング経済の1つの分野として成長しつつあります。

2015年12月に、Chimeraと呼ばれるランサムウェアの中に、初めて「doxingware」が見つかりました。(※5)

Chimeraは一見ユーザーのファイルを暗号化し、復号化のために金銭を要求するランサムウェアのように見えましたが、「doxingware」は被害者にさらに別の圧力をかけます。身代金を払わなかった場合には全ての窃取されたファイル(これにはファイルの所有者として認証可能なクレデンシャル情報も含まれます)を公開すると脅迫します。Chimeraの場合、幸運なことに攻撃者はサーバーへファイルを公開することはせず、偽の脅迫に終わりました。しかし、本当に「doxingware」が近い将来現れるかもしれません。

実際に、この市場はとても活性化しており、「doxing-as-a-service」を提供しているサイバー犯罪者までいます。

  1. ※5 Inside Chimera Ransomware – the first ‘doxingware’ in wild
    https://blog.malwarebytes.org/threat-analysis/2015/12/inside-chimera-ransomware-the-first-doxingware-in-wild/(外部リンク)
図1 Ran$umBinのサイト

図1 Ran$umBinのサイト

Ran$umBinというDark Webのサイトがあります(図1)。Ran$umBinは、doxingによる情報の収集と公開をビジネスにしています。Ran$umBinは、サイバー犯罪者がdoxingで取得した情報をアップロードし、情報を削除したい被害者から身代金を受け取るためのプラットフォームを提供します。情報をアップロードしたサイバー犯罪者は、被害者が支払った身代金の50%を得ることができます。

図2 カテゴリ別の身代金の額

図2 カテゴリ別の身代金の額

支払う身代金はアップロードした人間が割り当てたカテゴリに依存します(図2)。カテゴリは基本的なもので、小児愛者、報復、混合型、法執行機関、有名人などがあります。

図3 doxingによる情報収集サービスの3つのパッケージ

図3 doxingによる情報収集サービスの3つのパッケージ

加えて、Ran$umBinはdoxの情報収集サービスを、情報のレベルにより3つのパッケージで提供しています(図3)。$150で特定の人物の完全なプロファイルを収集することを約束しており、情報収集に失敗した場合には返金するとしています。

4. 対策

doxingされた人は、状況を改善するための対策をとる必要があります。

doxの共有によく使われるPastebinのようなサイトでは、個人情報の削除のための手順が整備されています。(※6) また、最近Twitterはdoxingをサービス利用規約で違反とし、嫌がらせに使われたアカウントを報告し、投稿を削除しています。(※7)

さらに、doxingは別の脅威の前兆となることから、どの情報が脅威につながると解釈するかの判断方法を確立することが重要です。

上記で述べたように、アカウントやパスワードは被害者のなりすましにたびたび使用されます。アカウントが1つ漏えいしたら、ユーザーは同じパスワードを使っているすべてのサービスのパスワードを変える必要があります。クレジットカードと銀行の情報、社会保障番号などの場合には、速やかに関連機関に連絡を行わなくてはなりません。銀行、信用組合や法執行機関は、さらなる不正を防ぎ、窃取を認識するための対応を提示してくれるはずです。

残念なことに、Kaspersky社は2016年のセキュリティ予測の報告書の中で、doxingは急激に増加をしていくとの予測をしています。(※8) やはり事前にしっかりと継続的にリスクの状況を把握しておくことが重要です。

サイバーインテリジェンスの企業はクレデンシャル情報の監視サービスを提供しており、アンダーグラウンドのフォーラム、IRCチャネル、Dark Web、Pastebinなどの情報を収集し、ユーザーのクレデンシャル情報の漏えいが発見されるとすぐに警告を通知します。これらの企業はdoxingによるサイバー犯罪を認識できますので、これによりユーザーの迅速な対応が可能になります。

doxingをユーザー側で技術的に防ぐ方法はまだ確立されていませんが、doxingの被害にあったことがわかってもパニックにならず、冷静にすみやかに状況を改善するための対策を取ることが重要と言えるでしょう。

  1. ※6 Pastebin – contact us
    http://pastebin.com/contact(外部リンク)
  2. ※7 Twitter Just Banned Revenge Porn and Doxxing
    http://gizmodo.com/twitter-just-banned-revenge-porn-and-doxxing-1690916107(外部リンク)
  3. ※8 Kaspersky Security Bulletin. 2016 Predictions
    https://securelist.com/analysis/kaspersky-security-bulletin/72771/kaspersky-security-bulletin-2016-predictions/(外部リンク)

Profile

馮 菲
株式会社NTTデータ 技術革新統括本部 セキュリティ技術部
馮 菲

2015年NTTデータ入社。サイバーインテリジェンスサービス評価やマルウェア解析、デジタルフォレンジックなど幅広い情報セキュリティR&Dに従事し、現在は主にセキュリティ製品評価を担当。