H-1B申請者の「デジタル・ドキシング」は制度とOSINTが生む構造的な露出—米政府の公開データとSNS識別子収集が攻撃面を拡大します

今日の深掘りポイント

• ドキシングは個別の事件というより、制度上の公開データと民間OSINTを結合した「構造的な露出」から必然的に生まれる脅威です。
• H-1B関連で米政府が公開・収集する情報（LCA公開データ、雇用者別H-1B統計、ビザ申請時のSNS識別子提出）自体は合法運用ですが、攻撃者はこれらを相関させて高精度の標的リストを生成します。
• 企業にとっては採用・駐在・移民手続きが新たな攻撃経路になり、フィッシング、BEC、なりすまし、家族への嫌がらせまで波及します。人事・法務・SOCが同時に動く体制が必要です。
• 既に入手容易な公開データと自動化により、短期的な被害発生の蓋然性は高く、現場で即応のガードレール（通信検証フロー、DLP、ベンダー統制、従業員・家族向けOPSEC）を敷くべき局面です。

はじめに

米国で働く高度人材を狙った「デジタル・ドキシング（個人特定と晒し上げ）」が拡大しています。H-1B制度は複数の行政プロセスを横断し、労働局（DOL）や移民局（USCIS）による公開・統計データ、国務省（DOS）によるビザ情報収集が絡みます。これらはそれぞれ適法な透明性や審査強化の枠組みですが、攻撃者の視点では高精度のOSINT素材です。結果として、H-1B申請者・保持者、その家族、スポンサー企業が、フィッシングやなりすまし詐欺、嫌がらせ、国家主体の偵察といった複合的リスクに晒されます。

本稿は、制度に基づく公開・収集の「事実」をまず確認し、そのうえで攻撃者の相関分析・自動化により何が実務上の脅威になるのかを掘り下げます。なお、コミュニティで取り沙汰される「SNSアカウントの提出義務が新たに開始された」といった断定的表現については、一次情報に基づく確認が要であり、本稿では一次情報に立脚して説明します。

深掘り詳細

事実：何が公開され、何が収集されているのか

• 労働条件申請（LCA）の大規模公開データ
  • DOLのOFLCはH-1Bの前提となるLCAに関する「Disclosure Data」を四半期・年次で公開しています。雇用主名、職種、賃金、勤務地（都市/州）等が含まれ、個人名は含まない一方で、雇用条件の粒度は高いです。攻撃者はこのデータを基点に、企業・職種・地域の組合せで候補者群を抽出可能です。米労働省OFLC公開データ に一次データが掲載されています。
• USCISのH-1B雇用者別データハブ
  • USCISは雇用者別のH-1B承認件数などの統計を提供しています。個人名はないものの、企業単位での傾向を可視化しており、狙うべき企業群の絞り込みに寄与します。USCIS H-1B Employer Data Hub に一次情報があります。
• ビザ申請時のSNS識別子提出
  • 2019年以降、米国の非移民・移民ビザ申請フォーム（DS-160/DS-260）で主要SNSのユーザー名（Social Media Identifier）の提出が求められています。これは政府による審査強化の一環で、公開ではなく「提出（収集）」です。一次情報としての官報告示は国務省の情報収集通達に基づき、当時の広報を裏づける一次資料としては国務省所管の案内と、同要件の導入を伝える報道が参照できます（例：Reutersによる導入時の一次報道）[1]。なお、提出情報が公に開示される枠組みではありません。
• USCISの詐欺・なりすまし注意喚起
  • USCIS自身が「USCISを騙る詐欺」に注意喚起し、正規の連絡手段・支払い方法を明記しています。これは攻撃者が公式風の通知を悪用する典型パターンの存在を示す一次情報です。USCIS: Avoid Scams に基準が示されています。

[1] 例示：Reuters “U.S. requires social media details from visa applicants” は国務省発表を受けた一次報道として広く参照されています（https://www.reuters.com/article/us-usa-immigration-visa-socialmedia-idUSKCN1T11RZ）。申請フォームの運用や文言は国務省のフォームおよび連邦公報の告示改定に基づきます。

インサイト：なぜいまドキシングが加速するのか（仮説を含む）

• 制度の透明性とOSINTの「相関爆発」
  • 公的公開データは個人名を直接含みませんが、雇用主・職種・賃金・勤務地という高粒度の特徴量が揃っています。攻撃者はLinkedInやGitHub、企業の採用ページ、新聞リリース、従業員名簿、求人データベース等と相関させ、特に少数の専門職や希少スキルでは個人を特定しやすくなります。これは数理的には「特徴量の一致確率」が高いほど特定可能性が急増する問題で、生成AIとスクレイパーの普及で自動化が容易になっています。
• 提出されたSNS識別子の「誤解された公開」リスク
  • SNSハンドルは政府に提出されるもので「公開」ではありません。ただし、（仮説）漏えい・社外委託の不適切管理・当事者のSNSプライバシー設定の甘さ等が重なると、攻撃者にとっては実質的なハンドル名の特定が容易になります。さらに、LCA公開データと職務キーワードを使えば、当該ハンドルの本人性を高確度で推定でき、なりすましや狙い撃ちの足場になります。
• 企業側の「移民プロセス」という新たな攻撃面
  • 人事・法務・移民弁護士・出向者・家族・引越し/住居/保険ベンダーなど、多数の第三者が関与します。書類（I-129/I-797、パスポート、給与情報、住所、家族構成）が横断的に移動し、メールでのやり取りやe-Signプラットフォームが多用されます。これにより、BECやアカウント侵害の踏み台となる「移民案件特化のサプライチェーン攻撃」が現実化しやすい土壌になっています。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った仮説的シナリオです。実際の攻撃は複合的に発生するため、個別の技術要素を連鎖として捉える必要があります。

• 公開データ × SNS相関による高精度ターゲティング
  • 技術要素（Reconnaissance）
    • T1593: Open Source 情報探索（公開Web/政府データの検索）です。
    • T1589.003: 個人識別情報の収集（人物の氏名・役職・連絡先の特定）です。
  • 影響
    • H-1B保持者の氏名・勤務先・職務を高確度で推定し、企業メール/LinkedIn/個人メールへ高信頼フィッシングを送付します。
• USCIS/DOLなりすましフィッシングと支払い詐欺
  • 技術要素（Initial Access）
    • T1566.001/003: Spearphishing（メール/サービス）で、ケース番号風の偽装や「追加審査（RFE）」「罰金」「Cap選抜通知」等の文面を用います。
    • T1585.001: 偽のSNS/メールアカウント作成（USCIS/DOL職員風）です。
  • 影響
    • 申請者や家族に対する金銭詐取、認証情報収集、端末マルウェア感染に波及します。
• ベンダー経由のサプライチェーン侵入
  • 技術要素
    • T1195: サプライチェーンの侵害（移民弁護士事務所・引越し・保険ブローカーのメール侵害）です。
    • T1556: 認証プロセスの改ざん（メール転送ルール、MFA疲労の誘発）です。
  • 影響
    • BEC、個人情報の二次流出、請求書差替えでの送金被害に直結します。
• 嫌がらせ・心理的圧迫と情報収集の長期化
  • 技術要素（Collection/Exfil）
    • T1056/T1114系の資格情報・メール収集や、T1539（WebセッションCookie窃取）等と組み合わせます。
  • 影響
    • 当事者の心理的安全性が損なわれ、退職・離職、採用難の助長、組織の人材戦略への長期的な損害につながります。

組織面の影響として、即時の金銭・情報窃取に加え、採用ブランドの毀損、グローバルモビリティ運用コスト増、リーガル・PR対応の恒常化という「見えにくい損失」が累積しやすい点が特徴です。

セキュリティ担当者のアクション

短期の実装可能なコントロールと、中期の運用設計を分けて提示します。人事・法務・SOCの三位一体で進めることを推奨します。

• 7日以内に着手
  • 移民関連コミュニケーションの検証フローを明文化します。USCIS/DOLからの「支払い要求」「ファイル提出依頼」は、社内専用の連絡窓口経由で二経路確認する運用に固定します。
  • メール防御をUSCIS/DOL/弁護士ドメインに最適化します。SPF/DMARCの厳格化（p=reject）、ブランドなりすまし検知、件名・本文に「USCIS」「I-797」「RFE」「H-1B」などのキーワード検知と自動タグ付けを導入します。
  • 社員と家族向けのワンページガイドを配布します。「USCISはギフトカードを要求しない」「.govドメインの確認」「電話での個人情報聴取に応じない」といった最低限の判断基準を明記します。USCISの詐欺回避ガイダンスを基準にローカライズします。
• 30日以内に整備
  • HR・法務のDLP/IRMを有効化します。I-129/I-797、パスポート、SSN、家族情報等を含む文書の自動タグ付けと外部送信制限、透かし付与、到達先ドメインの許可制を実装します。
  • ベンダーリスクの棚卸しを実施します。移民弁護士、引越し、保険、住宅仲介、認証翻訳などの委託先について、暗号化・多要素認証・監査証跡・侵害時の通報SLA・データ削除要件を契約に明記します（可能ならSOC 2 Type IIやISO 27001の確認を行います）。
  • LCA掲示運用の見直しを法務と共に行います。規制適合を維持しつつ、個人特定につながる情報の重複露出（社外Webへの長期掲載、余計なメタデータ）を抑制します。DOLのDisclosure Data以上の詳細を外部に残さない原則を徹底します。
  • 検知のユースケースを追加します。IOCではなく、文脈検知（USCIS/移民弁護士との平時の通信パターンから逸脱した新規ドメイン・送信国・送信時刻）をSIEM/MLで監視します。
• 四半期内に定着
  • グローバルモビリティOPSEC研修を定例化します。求職・転職詐欺、LinkedInでの過度な職務詳細、SNSの公開設定、家族アカウントの保護、住所・通勤経路の晒し方など、移民手続き特有のユースケースを盛り込みます。
  • ドメイン・ブランド監視を開始します。uscis・h1b・lca・i797等の文字列を含むタイポスクワットを継続監視し、弁護士事務所名のなりすましも同様にウォッチします。
  • ドキシング対応プレイブックを作ります。緊急連絡→一次切り分け→エビデンス保全→弁護士/広報連携→プラットフォーム申告（削除要請）→関係者ケア（住所変更支援・警察連携・在外公館連絡）までの流れを定義します。

全体として、被害発生の蓋然性が高く、短期のオペレーションで抑止できる範囲も大きい領域です。セキュリティ部門は「移民・採用」という非典型のビジネスプロセスに自部門のガードレールを組み込むことが、競争力の維持と人材の心理的安全性の両立に直結します。

参考情報

• 米労働省 OFLC Disclosure Data（H-1B/LCAの公開データ一次情報）: https://www.dol.gov/agencies/eta/foreign-labor/performance
• USCIS H-1B Employer Data Hub（雇用者別H-1B統計）: https://www.uscis.gov/data-research/data-sets/h-1b-employer-data-hub
• USCIS Avoid Scams（USCISを騙る詐欺への注意喚起）: https://www.uscis.gov/scams-fraud/avoid-scams
• Reuters: U.S. requires social media details from visa applicants（ビザ申請時のSNS識別子提出の導入を伝える一次報道）: https://www.reuters.com/article/us-usa-immigration-visa-socialmedia-idUSKCN1T11RZ
• コミュニティでの問題提起（参考）：The US Digital Doxxing of H-1B applicants is a massive privacy misstep（malware.news）: https://malware.news/t/the-us-digital-doxxing-of-h-1b-applicants-is-a-massive-privacy-misstep/102556

本稿では一次情報に基づき、公開・収集の実態と攻撃者の悪用可能性を切り分けて論じました。新たな運用変更や事件が確認された場合は、一次ソースの更新とともに追補します。