1月17日、MicrosoftでRegional Directorを務めるTroy Hunt氏が自身のWebサイトで、7億を超えるメールアドレスと2000万を超えるパスワードが漏洩したことを明らかにし、話題となっている。
犯罪者に漏洩したデータを悪用されると、金銭的な被害を受けるおそれがある。そこで、自分のメールアドレスやパスワードが漏洩しているかどうかを確認する方法を2つ紹介しよう。
Have I been pwned
1つは、Hunt氏が運営しているWebサイト「Have I been pwned」を利用する方法だ。同Webサイトでは、これまで発生したセキュリティインシデントによって流出したIDやパスワードを収集している。
メールアドレスの漏洩を確認するWebページとパスワードの漏洩を確認するWebページは、以下のように分かれている。
-
「Have I been pwned」のメールアドレスの漏洩を確認するWebページ
-
「Have I been pwned」のパスワードの漏洩を確認するWebページ
いずれのWebページにおいても、画面上の空白に漏洩しているかどうかを確認したいメールアドレス、パスワードを入力すると、その結果が表示される。以下の2つの画面のうち、左が漏洩していなかった場合、右が漏洩していた場合に表示される画面だ。
「Have I been pwned」でメールアドレスの確認結果が表示された画面。左から、漏洩していなかった場合、漏洩していた場合の画面
漏洩が判明したデータについては、その要因を教えてくれる。上記の場合、2012年にDropboxがハッキングされて6800万件のアカウントデータを窃取された際に漏洩したようだ。
-
メールアドレスの漏洩元も教えてくれる
次に、漏洩がわかった場合はどうするべきか。当然だが、漏洩元となっているWebサービスのパスワードは変更しよう。また、メールアドレスの漏洩が確認されなかったWebサービスにおいても同じパスワードを使っている場合は、変更したほうがよいだろう。利用しているサービスが2要素認証に対応しているようであれば、それも有効にしたい。
Hunt氏は、安全なパスワードを作成して管理してくれるパスワードマネージャー「1Password」の利用を推奨している。1Passwordにパスワードを保存すれば、シングルクリックで登録したWebサイトにログインできるようになる。
なお、大事なメ―ルアドレスやパスワードをHave I been pwnedに入力しても大丈夫かどうか、心配する人もいるだろう。前述したように、Have I been pwnedはMicrosoftでRegional Directorを務めるTroy Hunt氏が運営していることはその安全性を信じる要素と言えるだろう。
もう1つ、内閣サイバーセキュリティセンター(NISC)が、FacebookおよびLINEにおいて、パスワードやメールアドレスが漏洩しているかどうかを確認できるサイトとして、Have I been pwnedを紹介しており、これも信頼できる要素と言えよう。
-
NISCもFacebookでメールアドレス、パスワードの漏洩を確認するサイトとしてHave I been pwnedを紹介している
Firefox Monitor
もう1つの方法は、Mozillaが公開している、メールアドレスおよびそれに関連したアカウントデータの漏洩を確認できるWebサイト「Firefox Monitor」を利用することだ。こちらは、日本語に対応している。
使い方は、Have I been pwnedと同様に、空白に漏洩の有無を確認したいメールアドレスを入力すればよい。Firefox MonitorにもHave I been pwnedで入力したアドレスを入れてみたところ、同様の結果が返ってきた。
-
Mozillaが提供している「Firefox Monitor」
-
「Firefox Monitor」も漏洩元を教えてくれる
ちなみに、Have I Been Pwned、Firefox Monitorのいずれもメールアドレスを登録しておくと、自分のデータが漏洩した場合に自動的に教えてくれるので、必要であれば利用したい。
