エグゼクティブ・ドクシング:攻撃の仕組みと阻止法</trp-post-container
目次
2025年、エグゼクティブを標的とした事件は倍増し、過去最高水準に達した。安全保障理事会は、2025年に発生した標的型攻撃事件を追跡調査した。 2023年から2025年にかけて、総インシデントが313%増加, ホッケースティックのようなものだ。‘
このガイドでは、エグゼクティブによるDoxing攻撃がどのように構築されるのか、その結果はどのようなものなのか、そして被害が発生する前に検知し対応するためにセキュリティチームが使用するコントロールについて説明します。.
1.DoxingとSwattingとは何か?
ドキシングとは何か?スワッティングとの違いは?スワットとDoxの意味を簡単に説明しよう:
- Doxedの意味: Doxing(「ドキュメント・トレース」の略)とは、財務情報や社会保障番号など、誰かの個人情報を同意なしに収集し、オンラインで公開することである。.
- スワットの意味: スワッティングとは、法執行機関に虚偽の報告をすることで、SWATチームを被害者の自宅の住所に送り込み、生命を脅かす可能性のある状況を作り出すDoxxingの一形態である。.
Doxingは、被害者を脅迫したい虐待者、有名な有名人のストーカー、企業の評判を傷つけたいサイバー犯罪者などによって行われることがある。.
ドクシングはどのように機能しますか?
Doxingは様々な方法で起こりうるが、通常、加害者は機密データを収集、共有、悪用するためにいくつかのステップを踏む。.
ステップ1:情報の収集
Doxerが被害者の情報を集める方法はたくさんある:
- ソーシャルメディアスクレイピングFacebook、Instagram、LinkedInのようなソーシャルメディアプラットフォームは、しばしば個人を特定できるピーアイアイ)の写真、場所、電話番号、個人的な関係についての詳細を含む。.
- 公的記録とデータベース有権者登録、不動産所有記録、裁判文書など、公開データベースからの情報は、オンラインでアクセスできることがよくあります。.
- データ侵害: 企業のデータベースが侵害されると、電子メールアドレス、パスワード、電話番号、さらにはクレジットカード情報などの個人情報が流出する可能性がある。.
- ソーシャルエンジニアリング ドクサーは〜を使うことができます フィッシング 電子メールやその他のなりすまし手口で、自分に関する貴重な情報を共有するよう説得する。.
- 人検索エンジン: Spokeo、Whitepages、Piplなどのウェブサイトは、住所、電話番号、雇用詳細などの個人データを収集し、販売している。.
- 逆引きサービス Doxersは、特定の画像や電話番号の所有者を追跡し、より多くの情報を収集することができます。.
ステップ2:情報の掲載
情報が収集されると、ドクサーはその情報を、オープン文書、公開プラットフォーム、またはその他の好きな場所に共有できます。これには以下が含まれます。
- ソーシャルメディア・プラットフォーム:Doxerは、被害者の個人情報をTwitter、Reddit、Facebookなどのプラットフォームで公に共有し、被害者の友人や家族をタグ付けして露出度を高めることができる。.
- ドクシングサイトドックスされた情報をホストするために特別に設計されたウェブサイトがあり、それらはしばしば大きなフォロワーを持っています。.
- フォーラムとオンライン・コミュニティ:4chanや匿名掲示板のようなプラットフォームは、Doxing行為のホットスポットとして知られている。.
2.Doxingは犯罪か?
司法管轄区域によって異なりますが、一般的にDoxingは犯罪とみなされます。ネット上での嫌がらせ、個人情報の盗難、評判の失墜、被害者とその家族の精神的苦痛につながる悪質な行為です。.
ドクシングの結末には以下のようなものがあります。
- 嫌がらせと脅迫被害者は、誹謗中傷、迷惑電話、身の安全を脅かすようなメッセージなど、執拗なオンラインハラスメントに直面することがよくあります。.
- 評判の低下ドクシングは、特に虚偽または有害な情報が共有された場合、個人の個人的または専門的な評判を傷つける可能性があります。.
- 精神的苦痛個人情報の漏洩は、不安、恐怖、精神的外傷を引き起こし、精神的健康に影響を与える可能性があります。.
- 身体的な危険:極端な場合、Doxingはストーカー行為、スワッティング、あるいは身体的攻撃につながり、生命を危険にさらすことさえある。.
- 財務損失銀行口座情報やクレジットカード番号などの機密情報が漏洩した場合、被害者は身元盗難や金融詐欺に遭う可能性があります。.
- プロの結果:物議を醸すような意見、過去の過ち、プライベートの詳細を公にすることは、キャリアやビジネス関係を危うくする可能性がある。.
Doxingに関する法律にはどのようなものがありますか?
Doxersに適用されうる法律は世界中にたくさんある:
英国の悪意のある通信法(1988年)
下 この法律, 脅迫的、攻撃的、または虚偽のメッセージを送信し、苦痛や不安を引き起こす意図がある場合、それは犯罪行為となります。ドクシングは、悪意を持って個人のプライベートな詳細をオンラインで公開し、被害者に危害や苦痛をもたらした場合、このカテゴリーに該当する可能性があります。.
オーストラリアのサイバー犯罪法(2001年)
オーストラリアのサイバー犯罪法 オンラインハラスメントおよびプライバシー侵害に関連する条項が含まれています。他人に意図的に損害を与える目的で電気通信またはデータネットワークを使用した場合は、本人同意なしに個人情報をオンラインに投稿することを含め、犯罪となります。.
EU一般データ保護規則(2016年)
具体的に「ドクシング法」というわけではありませんが GDPR 個人データの強力な保護を提供します。個人データを安全に取り扱うことを組織に義務付け、個人がデータが公開されたり誤って扱われたりした場合にその削除を要求する権利を与えます。Doxxing は GDPR 違反となる可能性があり、責任者は重い罰金に処される可能性があります。.
州際ドクシング防止法(2015-16年)
アメリカ議会は 法律を導入した これは、嫌がらせ、脅迫、ストーキング、または危害を加える目的で、他人の個人情報を意図的にオンラインで公開することを犯罪とするものです。この法律は、違反者に対して最高5年の懲役を含む罰則を定めています。.
3. 最近のドッギングのユースケースとしてはどのようなものがありますか?
ドクシングが実際にどのように行われ、壊滅的 (時には悲劇的) な結果をもたらすのか、実例を見てみましょう。.
フォーチュン500社の幹部たちが一斉に個人情報を晒されたとき
2025年5月、luigiwasright.com というサイト(およびそのクローンである theceodatabase.com)が、フォーチュン500企業の幹部数百人の氏名、ビジネス用メールアドレス、携帯電話番号、報酬詳細、LinkedInプロフィールを公開しました。サイトは24時間足らずしか稼働しませんでしたが、データはアーカイブされ、インデックス化されたままです。数時間以内に流出を検知したセキュリティチームは、機会が開いている間に削除依頼を開始することができました。後から対処したチームは、インデックス化されたバージョンにまだ対応しています。2026年、最初の流出から最初の悪用までの期間は、数日ではなく数時間で測定されます。.
警察が暴露されたとき
2011年、アノニマスと呼ばれるオンライン連合が、最近の一連の抗議デモでの警察による暴力への報復として、アメリカ全土の法執行官のデータを流出させたとされています。.
JKローリングがターゲットにされた時...
2021年、JKローリングは、彼女のエジンバラの住所の写真をツイッターで共有した3人の抗議者が、それを表示するために「注意深く自分たちの位置を決めた」ことを非難した。彼女の邸宅はウィキペディアにも掲載されている。.
J.K.ローリング氏が自宅外の写真を投稿したことへの返信ツイート。. ソース.
SWAT攻撃が悲劇的な結果を招いたとき…
Twitterのハンドル名を巡る口論の後、スワッターが60歳男性宅に偽の殺人事件を通報した。悲劇的なことに、法執行機関が銃を構えて自宅を包囲した際、男性は心臓発作で死亡した。.
X/Twitterがユーザーのデータを失ったとき…
2023年、ハッカーが2億人のTwitterユーザーのデータをフォーラムに無料で投稿しました。専門家は、「多くの口座がハッキングされ、フィッシングの標的となり、氏名や個人情報が特定されるだろう」と述べています。“
ドクシングサイトが被害を受けたとき…
2022年の皮肉な展開として、ドクシング(個人情報暴露)サイトDoxbin[.]comが攻撃者によって標的とされ、それ自体が情報漏洩に見舞われました。違法フォーラムは、しばしば内紛や相互の報復行為の対象となります。.
4.Doxedを避ける方法
ドクシングキャンペーンは、認識可能なパターンに従います。個人情報は、まず小規模で閉鎖的なコミュニティ、プライベートフォーラム、暗号化されたチャネル、辺境のプラットフォームで共有され、その後、主流のサイトに広まります。TwitterやRedditに現れる頃には、すでに勢いを増しており、静かに介入する機会は失われています。.
検出ステップ エグゼクティブの名前、メールアドレス、自宅の場所について、ペーストサイト、ダークウェブフォーラム、Telegramチャンネルを監視します。クローズドフォーラムでの言及は、通常48~72時間以内に公開投稿されます。
検出ステップ データ仲介サイト、人名検索エンジン、グーグルを使って、出身地、勤務先、個人的な電子メールを組み合わせた名前を検索するのだ。その結果、自宅の住所や家族の名前が出てきた場合は、攻撃者がターゲティング・パッケージに利用できるデータです。
検出ステップ 役員個人の電子メール・プロバイダーやソーシャル・プラットフォームに、ログイン通知を有効にするよう警告する。Doxing攻撃は、多くの場合、アカウントの侵害から始まります。’
ボーナス:ブランド保護への投資
ブランド保護 が提供しているようなサービスである。 シベルエンジェル, 、個人情報および会社の評判を守る上で重要な役割を果たします。.
サイベルエンジェルの包括的 ブランド保護 ソリューションには、ソーシャルメディアやアプリのなりすましからの保護、ドメイン保護、ダークウェブ詐欺が含まれます。.
ブランド保護 ~と戦える
- 偽情報の拡散
- 風評被害
- スワッティング事件やハラスメントのリスク
継続的な監視により、サイベルエンジェルは個人情報や企業情報が不正なウェブサイトで共有または販売されていることを検知し、被害が深刻化する前に介入する機会を提供します。.
5.ウェブサイト上であなたがDoxedされているかどうか確認できますか?
しかし、それには時間がかかる。最も簡単な方法の1つは、人気のあるページ、Doxingウェブサイト、ソーシャルメディアプラットフォームで、あなたの名前、住所、電子メール、その他の個人情報を検索することです。.
のようなサービスもある。 シベルエンジェル, 、ウェブを自動的に監視し、既知のデータ漏洩プラットフォーム、ダークウェブページ、または個人情報暴露フォーラムにあなたの情報が表示された場合に通知することができます。.
6.Doxされた場合の対処法
もしあなたがドックスされたことが分かった場合、迅速に行動することが重要です。取るべき緊急のステップは以下の通りです。
- 情報を削除するあなたの情報が掲載されているウェブサイトやプラットフォームに連絡してください。多くのウェブサイトでは、個人情報の削除をリクエストできます。プラットフォームが拒否した場合は、証拠としてスクリーンショットを撮り、問題をエスカレーションし、法的支援を検討してください。.
- 当局への通知:脅迫されていると感じたり、悪意を持って情報を共有された場合は、地元の警察当局に連絡してください。Doxingが、電子メールや電話などによる暴力の脅迫にまでエスカレートした場合は、直ちに報告することが重要です。.
- サイバーセキュリティの専門家の参加ビジネスや公人である場合は、サイバーセキュリティの専門家と協力して、情報がどのように漏洩したかを特定し、被害を軽減してください。これには、データブローカーやサービスプロバイダーからのデータの削除、ソーシャルメディアアカウントやネットワークの保護、および実装が含まれます。 ブランド保護 サービスを提供する。.
まとめ
経営幹部に対する個人情報晒しは、めったに公に告知されることはありません。データは静かに収集され、まず非公開のチャネルで共有され、大手プラットフォームに到達する頃には攻撃はすでに始まっています。CybelAngelは、ダークウェブフォーラム、ペーストサイト、非公開チャネルを継続的に監視し、経営幹部の個人情報が武器化される前に、それが現れた際にセキュリティチームに警告します。.
著者について
