メールアドレスを入力するだけで、個人情報やパスワード流出を確認することができるサイト「Have I Been Pwned? (HIBP)」の使い方をご紹介します。
Have I Been Pwned? には78億件(2019年4月現在)もの流出アカウント情報が蓄積されており、メールアドレスを入力すると、データベースに一致した過去の個人情報流出や情報漏洩事件の情報を表示してくれます。
ここで確認できる情報は、流出元や流出した日時、情報の種類(パスワード等)をはじめ、生年月日や電話番号などの個人情報もあります。
恐ろしい話ですが、流出したメールアドレスやパスワードは、アングラ情報が流通しているダークウェブや闇フォーラムで取引され、さらに入手したパスワードを自動的にSNSやウェブサービス、通販サイトに入力してチェックするというツールまであるそうです。
もし Have I Been Pwned? でメールアドレスやパスワードの流出を確認したら、パスワードを変更したり、使いまわしを避けるなどの自衛策を取るようにしてください。
Have I Been Pwned? は英語のサイトですが、メールアドレスを入力するだけなので誰でも簡単に使えますよ。
Have I been pwned (HIBP) とは
Have I been pwned(HIBP)は、セキュリティ研究者のTroy Hunt(トロイ・ハント)氏が運営しているサイトで、データベースに登録されている流出アカウントは78億5800万件、流出したサイトは362件(2019年4月現在)となっています。
流出情報のデータベースは随時更新され、流出件数の大きさや流出元のサイトも見ることができます。「Pwned websites」を見ると、Yahoo! や LinkedIn、Adobe、Dropbox など、かなりの大手でも過去に情報流出を起こしていることがわかります。
Have I Been Pwned? は、以前に紹介した Firefox Monitor にもデータベースを提供しています。
しかし、パスワード流出をチェックできる「Pwned Passwords」や、ドメインごとメールアドレスの検索ができる「Domain search」、外部から流出情報を検索できるAPIの利用は Have I Been Pwned にしかない機能で、検索できる情報も Firefox Monitor より多くなっています。
英語サイトなので誰でも使えるわけではありませんが、より詳細に情報を調べる場合は、本家本元の「Have I Been Pwned?」でチェックすることをオススメします。
とはいえ、Firefox Monitor は日本語化されているので、一般の方はこちらの方が使いやすいかもしれませんね。
ちなみに、Have I Been Pwned? の「Pwned」は「owned」から転じたネットスラングで、「打ち負かす、やられる」といった意味があります。
Have I Been Pwned の使い方
では、さっそく Have I Been Pwned を使ってみましょう。以下からアクセスしてください。使い方は自分のメールアドレスを入力するだけなので、とても簡単です。
サイトに入る前にreCAPTCHAにチェックを入れて、ボットではないことを確認します。
トップページの入力欄にメールアドレスを入力して「pwned?」をクリックします。
流出していない場合は「Good news — no pwnage found!」と表示されます。ただし、一部のセンシティブ情報はメール登録ユーザーのみ表示されます。
センシティブ情報については、下の「Notify me でメールアドレスを登録」で説明しています。
流出が確認された場合は「Oh no — pwned!」と表示されます。
その下を見ると、流出元のウェブサービスやファイルが表示され、流出した背景や日時、流出したアカウント数、流出したデータの種類がわかります。
今回入力したメールアドレスは、流出情報コレクションのようなものに含まれていました。
「Collection #1」とは、ウェブサービスやSNSから流出したメールアドレスとパスワードの組み合わせ情報で、ファイルには11億6000万件もの情報が記載されていたそうです。
そこから重複する情報や無効なデータを整理し、現在は7億7290万件のメールアドレスと、2122万件のパスワードが Have I Been Pwned で検索可能になっています。
流出した情報の背景は、Have I Been Pwned を運営しているTroy Hunt氏のブログに詳しい詳細があり、説明文内にあるリンクから飛べるようになっています。ただし、すべて英語です。
Pwned Passwordsでパスワード流出を調べる
Have I Been Pwned にはパスワード流出を調べることができる「Pwned Passwords」という機能もあります。こちらも使い方は簡単で、パスワードを入力するだけです。
パスワードの流出が見つからなければ「Good news — no pwnage found!」と表示されます。
流出が見つかると「Oh no — pwned!」と表示されます。調べてみたパスワードは「123456」で、何と23,174,662件も見つかりました。単純すぎるパスワードがいかに危険なのかがよくわかりますね。
Notify me でメールアドレスを登録
Have I Been Pwned には、メールアドレスを登録しておくと、今後の情報流出発生時に通知してくれるサービスがあり、上部メニューの「Notify me」から登録できます。
また、一部のセンシティブ情報は、登録済みユーザーのみ検索や表示が可能となっています。
センシティブ情報とは、アダルトサイトや公序良俗に反するサイトからの流出情報のことです。FAQsの「What is a “sensitive breach”?」にも以下の説明があります。
(センシティブ情報の流出は、メールアドレスの確認済み所有者のみ検索できます)
Have I Been Pwnedは他人のメールアドレスでも検索できるので、センシティブ情報はメール認証済みの本人しか見られないという仕組みになっています。
情報流出は常にチェックできるわけではないので、通知があると便利です。また、センシティブ情報の表示にも制限がかかるので、できればメールアドレス登録をオススメします。
メニューから「Notify me」に進み、メールアドレスを入力して reCAPTCHA にチェックを入れ、「notify me of pwnage」をクリックします。
入力したメールアドレスに認証用のメールが送られます。
送られてきたメール内の「Verify my email」をクリックしてください。
「Verification complete」と表示されたら認証完了です。
これでセンシティブ情報を表示したり、情報流出が見つかった時にメールで通知してくれます。
Have I Been Pwned の安全性
ここで気になるのは、Have I Been Pwned の安全性です。アクティブなメールアドレスやパスワードを入手できるので、その気になればいくらでも悪事を働くことができます。
実際にこういった情報流出チェックのサイトを作成して、メールアドレスやパスワードを不正に収集するという事件も起こっています。
とはいえ、Have I Been Pwned を運営しているTroy Hunt氏は自らの素性を明かしており、Microsoftのセキュリティディレクターで、セキュリティ研究者としても著名な人物です。
また、Firefox を開発する Mozilla は、Have I Been Pwned のデータベースとAPIを利用して「Firefox Monitor」を提供しています。
今までの実績や提携先から見て、このサイトは信頼できるし、安全性は十分だと考えてよいでしょう。もちろん、本当に信頼するかどうかは自分次第です。
個人情報・パスワード流出の対策
情報流出を確認したら、すぐにメールアドレスやパスワードを変更して、セキュリティを強化するなどの対策が必要です。パスワードを使いまわしている場合は、面倒でも全て変更したほうがよいでしょう。
Have I Been Pwned では、パスワードマネージャー「1Password」の利用、2段階認証の導入、通知サービスに登録することを推奨しています。
過去の情報流出事件を見ると、厳重にセキュリティ対策を施しているはずのGoogleやHotmail、Yahoo!、Twitter、Facebookといった大手SNSや、ウェブサービスでもメールアドレスやパスワードが流出しています。
これらの情報流出は、いくら自分で対策していても防ぎようがないし、流出した情報は「ダークウェブ」などで販売され、入手したスパマーやネット詐欺師に悪用される可能性があります。
ウェブサービスやSNSを利用するときは、常にパスワード変更等の手順を確認しておきましょう。