メールアドレスやパスワードが漏洩しているかを確認する2つの方法

1月17日、MicrosoftでRegional Directorを務めるTroy Hunt氏が自身のWebサイトで、7億を超えるメールアドレスと2000万を超えるパスワードが漏洩したことを明らかにし、話題となっている。

犯罪者に漏洩したデータを悪用されると、金銭的な被害を受けるおそれがある。そこで、自分のメールアドレスやパスワードが漏洩しているかどうかを確認する方法を2つ紹介しよう。

Have I been pwned

1つは、Hunt氏が運営しているWebサイト「Have I been pwned」を利用する方法だ。同Webサイトでは、これまで発生したセキュリティインシデントによって流出したIDやパスワードを収集している。

メールアドレスの漏洩を確認するWebページとパスワードの漏洩を確認するWebページは、以下のように分かれている。

メールアドレスの漏洩を確認するWebページ

パスワードの漏洩を確認するWebページ

• 「Have I been pwned」のメールアドレスの漏洩を確認するWebページ

• 「Have I been pwned」のパスワードの漏洩を確認するWebページ

いずれのWebページにおいても、画面上の空白に漏洩しているかどうかを確認したいメールアドレス、パスワードを入力すると、その結果が表示される。以下の2つの画面のうち、左が漏洩していなかった場合、右が漏洩していた場合に表示される画面だ。

• 「Have I been pwned」でメールアドレスの確認結果が表示された画面。左から、漏洩していなかった場合、漏洩していた場合の画面

漏洩が判明したデータについては、その要因を教えてくれる。上記の場合、2012年にDropboxがハッキングされて6800万件のアカウントデータを窃取された際に漏洩したようだ。

• メールアドレスの漏洩元も教えてくれる

次に、漏洩がわかった場合はどうするべきか。当然だが、漏洩元となっているWebサービスのパスワードは変更しよう。また、メールアドレスの漏洩が確認されなかったWebサービスにおいても同じパスワードを使っている場合は、変更したほうがよいだろう。利用しているサービスが2要素認証に対応しているようであれば、それも有効にしたい。

Hunt氏は、安全なパスワードを作成して管理してくれるパスワードマネージャー「1Password」の利用を推奨している。1Passwordにパスワードを保存すれば、シングルクリックで登録したWebサイトにログインできるようになる。

なお、大事なメ―ルアドレスやパスワードをHave I been pwnedに入力しても大丈夫かどうか、心配する人もいるだろう。前述したように、Have I been pwnedはMicrosoftでRegional Directorを務めるTroy Hunt氏が運営していることはその安全性を信じる要素と言えるだろう。

もう1つ、内閣サイバーセキュリティセンター(NISC）が、FacebookおよびLINEにおいて、パスワードやメールアドレスが漏洩しているかどうかを確認できるサイトとして、Have I been pwnedを紹介しており、これも信頼できる要素と言えよう。

• NISCもFacebookでメールアドレス、パスワードの漏洩を確認するサイトとしてHave I been pwnedを紹介している

Firefox Monitor

もう1つの方法は、Mozillaが公開している、メールアドレスおよびそれに関連したアカウントデータの漏洩を確認できるWebサイト「Firefox Monitor」を利用することだ。こちらは、日本語に対応している。

使い方は、Have I been pwnedと同様に、空白に漏洩の有無を確認したいメールアドレスを入力すればよい。Firefox MonitorにもHave I been pwnedで入力したアドレスを入れてみたところ、同様の結果が返ってきた。

• Mozillaが提供している「Firefox Monitor」

• 「Firefox Monitor」も漏洩元を教えてくれる

ちなみに、Have I Been Pwned、Firefox Monitorのいずれもメールアドレスを登録しておくと、自分のデータが漏洩した場合に自動的に教えてくれるので、必要であれば利用したい。