Recorded Futureは3月27日(米国時間)、「Violent Extremists Dox Executives, Enabling Physical Threats|Recorded Future」において、米国の過激派(DVEs: Domestic Violent Extremists)が政治家や企業の幹部を標的として同意を得ずに個人情報を収集・公開する攻撃(Dox)がエスカレートしているとして、その手法と緩和策を示したレポートを公開した。レポートは「(PDF) Violent Extremists Dox Executives, Enabling Physical Threats - Recorded Future by Insikt Group」から閲覧できる。
-
Violent Extremists Dox Executives, Enabling Physical Threats|Recorded Future
米国内の過激派(DVEs)とは
米国の過激派(DVEs)は「外国のテロ集団やその他の外国勢力からの指示や影響を受けずに、主に米国を拠点として活動し、不法行為によって全体的または部分的に政治的または社会的目的を達成しようとする個人」と定義される。レポートを作成したInsikt GroupはDVEsによって投稿された3つの個人情報公開攻撃を調査し、その内容を分析している。
分析によると個人情報が公開される攻撃の被害に遭った人物は、その後にサイバー攻撃やストーカー行為、抗議活動、監視、物理的攻撃(暴力)などのリスクが高まるという。その影響は被害者個人にとどまらず、否定的な感情キャンペーンにより所属組織もブランドイメージや経済的な被害を受けるとされる。2023年には企業幹部への顕著な攻撃増加が報告され、合計で1,100万人の米国人が被害に遭った可能性があるとの調査結果も報告されている。
個人情報をさらす攻撃の緩和策
レポートではこのような攻撃を回避するため、次のような対策の実施を推奨している。
- インターネット上に公開している個人情報を定期的に調査して更新する。その際、信頼できるオープン・ソース・インテリジェンス(OSINT: Open Source Intelligence)を活用すると効果的
- 個人情報および家族の情報がインターネット上に存在する場合は削除を要請する。有料ではあるが、DeleteMeやReputationDefenderなどのサービスを利用できる
- オープンフォーラムで個人情報を共有する場合は要注意。これにはソーシャルメディア、マスコミのインタビューを含む。攻撃に悪用できる可能性がある情報は共有しない
- 不動産取引を行う際は信頼できる弁護士に仲介を依頼し、個人情報が公文書などに掲載されることを回避する
- インターネット上のサービスを利用する場合は一意で強力なパスワードを使用する。また、アカウント名に本名を使用せず、仮想プライベートネットワーク(VPN: Virtual Private Network)を介してアクセスするなど、サイバー攻撃を回避するためのベストプラクティスを実践する
- 個人情報が漏洩した場合に備え、対応計画を策定する
- ソーシャルメディア上に公開する情報を制限する。家族も標的となることがあるため、家族の情報制限も徹底する
一般人がこのような攻撃の被害に遭った場合、法執行機関に相談することが推奨されている。その際、公開された個人情報を収集し、リスクの範囲を評価することが重要とされる。住所や電話番号が公開されたら、ストーカー被害に遭う可能性があり、プライベートなメールアドレスが公開された場合はサイバー攻撃を受ける可能性がある。また、個人情報の掲載されたWebサイト(検索サイトを含む)を特定し、サイト管理者に削除を依頼することも必要とされる。
Insikt Groupは、市民団体などが社会正義の名の下で公然とこのような攻撃をする可能性があるとして注意を呼びかけている。特に選挙前の期間などにこのような攻撃が増加する恐れがあるとして、影響を受ける可能性のある政治家や企業幹部に対し緩和策の実施を推奨している。
