世界中で勢いを増している手口として、ドクサー(個人情報晒し屋)が警察官になりすまし、「緊急要請」と呼ばれる仕組みを悪用して、大手企業に数分以内に個人の機密データを開示させるというものがあります。たとえば9月4日、Charter Communicationsの法務対応センターの従業員は、ジャクソンビル保安官事務所の「ジェイソン・コース警官」からの緊急メールと思われるものを受信し、ターゲットとなった人物の氏名、自宅住所、電話番号、メールアドレスを即座に開示しました。実際には、そのメッセージは、ドクシングをサービスとして公然と販売しているグループの一員によって送信されたものでした。
Exemptとして知られる情報提供者は、彼のグループがAppleやAmazonを含むほぼすべての主要な米国テクノロジー企業、さらにはRumbleのような小規模プラットフォームからも、こうした情報を引き出すことができるとWIRED に語っています。Charterの事例では、全工程にかかった時間は約20分だったと主張しており、さらされた人物のその後の運命についてはほとんど気にかけられることはないとしています。
Exemptによれば、彼は過去数年間で最大500件もの同様の要請を成功させた可能性があるといいます。その主張を裏付けるため、彼はWIREDに、メールのスクリーンショット、偽造された召喚状、企業からの回答、さらには、ある企業のコンプライアンスチームが要請の正当性を確認しようとする電話の録音だと説明する資料を提供しました。さらに、現職の法執行機関職員がグループに接触し、自身のアカウントから要請を出す代わりに報酬の一部を受け取ることを持ちかけたとされる証拠も提示しました。
その仕組みは不気味なほど単純です。攻撃者がIPアドレスを入手すると、それを特定の個人に結びつけ、連絡先情報を引き出し、その情報を足がかりにさらなる要請を行います。Exemptは、召喚状や令状があれば、プライベートメッセージ、テキスト、通話履歴といった、より機微なデータ—事実上「その人の人生のすべて」—に到達できると率直に述べており、その結果は主に企業がどれだけ迅速に対応するかにかかっているとしています。
米国では、警察やその他の機関からの正式な要請は通常メールで送られ、大手プラットフォームには対応義務を負う専任チームが置かれています。標準的な要請に加え、「差し迫った危害や死亡の危険」があるとされる場合に提出される緊急データ要請が存在し、企業が「人命救助」のために急いで対応するため、しばしば追加の確認プロセスを迂回してしまいます。まさにこの例外こそが、ドクサーたちが悪用している抜け穴です。
問題をさらに深刻にしているのが、米国の法執行機関の規模と分断です。約1万8,000もの別個の機関が存在し、それぞれ独自のドメインや命名規則を持っています。その結果、「それらしく見える」メールを簡単に否定することが難しくなっています。Exemptは主な手口として、ソーシャルエンジニアリングやデータ侵害を通じて本物の警察メールアカウントを乗っ取る方法と、よく似たドメインを登録する方法の2つを挙げています。ジャクソンビルの事例では、実在のjaxsheriff.orgではなくjaxsheriff.usを購入し、部署の電話番号をスプーフィングし、本物のバッジ番号や警官名を使って疑念を払拭したと主張しています。
彼はさらに、偽造文書は非常にもっともらしく見えるよう作られていると付け加えます。グループは公的記録から本物の召喚状をコピーし、適切な法的文言や法令の条文を挿入し、ときには記載された日に担当判事が実際に裁判所にいるかどうかまで確認することもあるとされています。Exemptはまた、グループが英国の極右活動家トミー・ロビンソンのRumbleアカウントの登録情報を入手したと主張しています。
企業側が要請の正当性を確認しようとしても、回避される可能性は残ります。ExemptがWIREDと共有したある録音では、Amazonの法執行機関対応チームのメンバーがメールに記載された電話番号に電話をかけ、Exempt本人と直接話すことで、文書の受領を「確認」してしまっていました。Amazonはその後、このなりすましを特定してブロックしたと述べており、攻撃者が10人未満の顧客に関する基本的なデータを取得した段階で、同社は「迅速に追加の保護策を実施した」としていますが、その詳細の開示は拒否しました。
さらに別のリスク要因として、手順書がほとんど「やり方マニュアル」のように読めてしまう点があります。たとえばAppleは、専用フォームと「公式」アドレスからの送信を通じて、任意の緊急開示を行うプロセスを公開しています。Exemptは、iCloudユーザーの自宅住所、電話番号、メールアドレスが含まれていたと主張するApple宛ての偽造要請と、それに対する回答の例をWIREDに示しました。
利便性を重視したインフラも、リスクを一段と高めています。非営利団体SEARCHが運営するデータベースはその一例で、数百のプロバイダーやオンラインサービスに対する法執行機関向けの直接連絡先情報を集約しています。現在はKodexの創業者である元FBI捜査官マット・ドナヒューは、根本的な問題は構造的なものだと指摘します。すなわち、メールは本来、このレベルの本人確認や状況把握を前提として設計されておらず、安全なポータルの方が本質的に安全だということです。しかしKodexの推計では、リストに掲載されている企業の8割以上が、いまだにメール経由での緊急要請を受け付けているといいます。
とはいえ、ポータルであっても万能ではありません。Exemptは、かつては侵害された警察メールアカウントを使ってKodex経由で要請を提出できていたものの、信頼できるデバイスへの紐づけといった制御が強化されるにつれ、そのアクセスを失ったと主張しています。現在は、大規模な部署に所属する保安官代理と取引を交渉しており、その人物のデータを既知のドクシングサイトから削除することを条件に、Kodexアカウントを「レンタル」するか、あるいは一定の取り分と引き換えに代理で要請を出してもらう案を話し合っているといいます。証拠として、Exemptはぼかしの入ったチャット画面のスクリーンショットと、自身が本物だと主張する身分証の画像を共有しました。
ドナヒューは、緊急要請はプライバシー、セキュリティ、法、そして市民的自由の交差点に位置しており、本当に差し迫った事案では対応の速さが生死を分ける可能性があるため、問題は単純な「プレッシャー下での怠慢」では済まないと強調します。彼はさらに、Kodexは単発のチェックだけでなく、時間をかけて悪用パターンを検出するための継続的な行動分析を通じて、不審な行動にフラグを立てることができると述べています。
