パスワード管理

個人情報漏れたかも?!Have I Been Pwnedでチェックしてみよう!

ニュースなどで、個人情報漏えいの事件が盛んに報道されていますが
結局のところ、自分に関係があるのかよくわからなくてピンとこないことも多いですよね。

実は、情報漏えいの被害にあっているかどうか?を調べることができる
「Have I Been Pwned?」(ハブアイビーンポーンド)というWEBサービスがあります。

1度被害にあってしまうと、同じパスワードを設定している
別のサイトなどでまた被害にあってしまうこともあるので
事前にチェックする具体的な方法を確認していきましょう。

この記事を読むとこうなります
  • 情報漏えいチェックサイト「Have I Been Pwned?」の使い方がわかる

Have I Been Pwnedとは?

IDとパスワードのペアのことを「アカウント」と呼びますが
インターネット上で漏えいしているアカウントを
検索することができる「Have I been Pwned?」というサービスがあります。

https://haveibeenpwned.com/

このサービスには、113億件以上の漏えいアカウント情報が蓄積されていて
検索するとデータベースに一致した情報を表示してくれます。

自分のアカウントを検索すれば、自分が情報漏えいの被害にあってるかどうかがわかるんだね
データベースに登録されている漏えい元のサイトの情報は
Pwned websitesというページにまとめられています

日本でも馴染みの深いSonyやFacebookなど
知っている企業やサイトの名前もちらほらあるのではないでしょうか。

このような情報が悪用されると、知らないうちに自分のアカウントにログインされてしまうなどの不正アクセス被害に発展します。

知らないうちに被害にあってるかもしれないのは怖い〜
ちなみに、Pwn(ポーン)っていうのは、ハッカーのスラングで「乗っ取り」とか「侵入」とかの意味だよ。Have I been pwned?を訳すと「侵入されちゃった?」みたいな意味だね

Have I Been Pwnedの使い方

自分のアカウントが漏えいしていないかを確認する手順を紹介します。
やり方はとっても簡単です。誰でもすぐできますよ。

メールアドレスの漏えいをチェックするには?

トップページを開いて
入力フォームに自分のメールアドレスを入力して「pwned?」をクリックするだけです。

Oh no — pwned!と表示された場合

赤い画面が表示されたら、入力したメールアドレスは
過去にどこかのサービスで情報漏えいされたことがある、ということがわかります。

下の方に漏えい元のサービスが表示されますので、
もし気づいていなかった場合は、急いでパスワードを変えましょう

また、もし、これらのサービスと同じパスワードを使っている別のサービスがある場合は、そっちのほうのパスワードを変えることも忘れずに。

なぜわざわざ変更する必要があるか?はこちらの記事をどうぞ

同じパスワードを使い回しちゃダメ〜〜

Good news — no pwnage found!と表示された場合

緑色の画面が表示されたら、入力したメールアドレスは漏えいデータベースに登録されていません。

よかった〜

パスワードの漏えいをチェックするには?

メールアドレスとやり方は同じです。Pwned Passwordsのページを開いて
入力フォームに自分が普段使っているパスワードを入力して、「pwned?」をクリックします。

Oh no — pwned!と表示された場合

赤い画面が表示されたら、入力したパスワードは漏えいリストに含まれているありきたりなものだということがわかります。

もし、このようなパスワードを使っている場合は、とても危険です。
いつ不正アクセスの被害にあってもおかしくありませんので、すぐパスワードを変更しましょう。

ちなみに、そのパスワードが漏えいデータベースに登場する回数も表示されます(3,861,493 timesってところです)このケースだと、同じパスワードを付けている人が、のべ3,861,493人いるって感じですね。
数が多いとか少ないとかで評価が変わるわけではないのですが、これだけ多いとわかり易すぎですね。

安全で覚えやすいパスワードをつけるコツはこちらの記事にかいてますのでご覧ください。

Good news — no pwnage found!

緑色の画面が表示されたら、入力したパスワードは漏えいデータベースに登録されていません。

一旦は安心していいね

電話番号の漏えいをチェックするには?

2021年4月にFacebookから情報漏えいがあったことをきっかけに
電話番号の漏えいについてもチェックができるようになりました。

膨大な数のFacebookユーザーの氏名、生年月日、電話番号を含む個人情報が、ハッカー向けのウェブサイトに掲載されていたと報じられている。

https://japan.cnet.com/article/35169004/

このFacebookから漏えいした情報は、従来のようにメールアドレスが含まれている割合が少なかったためです。

電話番号の漏えいチェックには、メールアドレスをチェックしたときと同じトップページを開きます。
そして、携帯電話番号の最初の0をとって、国番号の81をつけた数で検索します(ハイフンはあってもなくても良いみたいです)

例えば自分の電話番号が、010-2345-6789なら
8110-2345-6789 になります。

Oh no — pwned!と表示された場合

赤い画面が表示されたときは、恐らくFacebookに登録している電話番号や
それに紐づく名前や生年月日や勤務先の情報などが漏えいしてしまった可能性が高いです。

かといって、電話番号を変更するのもなかなか難しいと思うので
すぐ変更すれば良いパスワードと違って、悪用を完全に防ぐことは難しいと思います。

今後、この電話番号情報を元にして、スミッシング(フィッシング)などの犯罪のターゲットになる可能性があります。
悪用されたとしても実際の被害につなげないように、SMSなどに届く不審なメッセージには十分注意する必要があるといえるでしょう。

スミッシング?なにそれ?と思った方は、別記事に詳しく書いてますのでこちらも合わせてご覧ください。

Good news — no pwnage found! と表示された場合

電話番号の漏えいは今の所確認されていないようです。

よかった〜

そもそもこのサイトは信頼できるの?

漏えいしているかどうか調べるためとはいえ、自分のメールアドレス・電話番号・パスワードを入力するのには抵抗が…ほんとに大丈夫?
「Have I been Pwned」は、Microsoftのリージョナルディレクター
(マイクロソフト製品や技術を世の中に対して啓蒙したり米国本社の技術開発部門などに対して意見を述べる役割を担う人)でセキュリティ専門家の
Troy Hunt(トロイ・ハント)氏
が運営していて
最近、米連邦捜査局(FBI)とも情報連携が発表されたサイトです。
https://japan.zdnet.com/article/35171550/

政府系メールアドレスの流出チェックにも使われていますし
パスワードチェックの部分は、現在オープンソース
(誰でもソフトの中身を見ることができる状態)で開発が進められています。

もちろん、何事にも100%の安全はありません
しかし、サイトの信頼性を判断する上で
身元のしっかりした人物が運営していることはとても大切です。
その点では、信頼して使えるサービスであると言ってよいと思います。

最終的には自分で判断することが大事です。
このサービスの目的などについては、こちらを確認すると良いでしょう。
https://haveibeenpwned.com/About

まとめ

  • 情報漏えいチェックサイト「Have I Been Pwned?」では、メールアドレス・パスワード・電話番号などのアカウント情報が漏えいしていないか確認することができる
  • 漏えいしている、していないにかかわらず、パスワードの使い回しはやめよう

少しでもお役に立てれば嬉しいです。では今回はこのへんで。