ソーシャルメディアMySpace(2008年)の3億6千万人分のアカウント情報漏洩、オンラインストレージサービスDropbox(2012年)の6千800万人分のアカウント情報漏えいなど大規模な情報漏洩が発生しています。
また最近も、インスタグラムの有名人アカウントを含む数百万を超えるアカウントがハッキングされDoxagramという闇データベースで1検索10ドル(約1,100円)という価格で取引されるという事態が発生しました。
そこで今回は、自分のメールアドレスやパスワードが流出していないか調べることができるウェブサイト「Have I been pwned?」をご紹介します。
Have I Been Pwned?では、電子メールアドレスまたはパスワードを入力することで、その漏洩の有無を調査することができます。
https://haveibeenpwned.com/
URLや画像をクリックすると、調べるサイトに移動します。
サイト「Have I been pwned?」の使い方!
過去に情報が流出していそうな長い期間使用しているメールアドレスなどを試しに検索してみましょう。
メールアドレスやパスワードを入力すると、下記のどちらかの画像が表示されます。
| 流出の可能性がない場合! | 流出の可能性がある場合! |
| Good news-no pwnage found! | Oh no — pwned! |
 |  |
| 「123456」「1111」などわかりやすいパスワードは、やはりダメですね。 |
不正アクセスを受けない対策は
- 複数のサービスで同じパスワードを使用しない
- 推測されやすいパスワードを設定しない
- 定期的にパスワードを変更するなど
などがあります。
不正アクセスを防止して個人情報を守りましょう!
ここからは、少し難しいので、自信のある方のみお試しください。
しかし、Have I Been Pwned?に機密情報であるメールアドレスやパスワードを入力することに抵抗がある人も多いでしょう。
Have I Been Pwned?でパスワードを入力せずに漏洩を調べる方法
「Have I Been Pwned?」が信頼できるサイトであったとしても、このサイトが外部からの不正侵入を受けて攻撃者によってパスワード収集に悪用されないとは限りません。
こうした懸念に対処する方法として、k-Anonymityと呼ばれる手法を使うことで、パスワードを入力することなく、過去のセキュリティインシデントによって漏洩したかどうかを調べることができるようになっています。
k-Anonymityの使い方
- パスワードをSHA1でハッシュ化します
- ハッシュ値の先頭5文字をHave I Been Pwned?に送信します(https://api.pwnedpasswords.com/range/ハッシュ値5文字)
- 先頭5文字分を抜いたハッシュ値の一覧が返ってくるので、ここに該当するハッシュ値が含まれているかどうか調べます。含まれていればそのパスワードは過去のセキュリティインシデントで漏洩しています
例えば、以下のスクリーンショットでは、123456というパスワードがセキュリティインシデントで漏洩しているかを調査しています。
この例では23,174,662回漏洩したことが確認されている。123456は使ってはいけないとされるパスワードの1つであり、その通りの結果が得られたことを確認できます
Have I Been Pwned?はデータ漏洩が発見された場合に登録したメールアドレスへ通知する機能を提供しており、記事では登録することを推奨しています。
参考資料
「Have I been pwned?」とは?
“pwned”はowned(所有する)と同じ意味をもつインターネットスラングで「Have I been pwned?(所有されている?)」という意味となり、メールアドレスやパスワードが流出して第三者に所有されているということを意味しています。「Have I been pwned?」ではメールアドレスを入力することで過去にアカウント情報の流出があったかを確認することができます。
「Have I been pwned?」創設者は?
サイトを作ったのはマイクロソフトの地域ディレクターのトロイ・ハント。「Have I been pwned?」はトロイ・ハントのポケットマネーと少額の寄付で運営されています。マイクロソフトのクラウド「Microsoft Azure」を利用して運用しているようです。
「Have I been pwned?」創設のきっかけ
2013年に発生すたアドビの約1億5000万件のアカウント情報漏洩の際に、流出した情報による被害を防ぐために創設されたそうです。
