世界では毎日といっても過言ではないほど頻繁にデータ漏洩をもたらすセキュリティインシデントが発生している。漏洩したアカウントデータはサイバー攻撃に悪用される。自分には関係のない話だと思うかもしれないが、そうではないのだ。インターネット経由で提供されるサービスを利用する機会が多い今日、こうしたデータ漏洩の被害はすぐそこにある日常だ。そのリスクはサイバーセキュリティに詳しい方ほど実感しているはずだ。
自分が使用しているアカウントのデータが漏洩の被害に遭っているかどうかを知ることは、セキュリティインシデントの影響を受けないために重要なことだ。自分のアカウントデータが漏洩しているかどうかを調べる方法はいくつかあるが、最も知られているのは以下のWebサイトを使う方法だろう。
「Have I Been Pwned」(HIBP)は、メールアドレスや電話番号を入力すると、その値にひもづけられているアカウントデータが流出しているかどうかを確認できるサイトだ。過去のセキュリティインシデントで流出したアカウントデータを検索し、結果を教えてくれる。また、電子メールアドレスを登録しておけば、将来そのメールアドレスにひもづけられたデータ漏洩が発覚したら、ユーザーにその旨を通知してくれる。
しかし、サイバーセキュリティに注意深い方であれば、このサイト自体が安全かどうかを懐疑的に思い、メールアドレスの登録に躊躇するだろう。このサイトは公的機関が運営しているものではなく、個人が運営しているものだ。不審に思うのは適切な判断と言える。
こうした疑問に対し、Malwarebytesが「"Have I been pwnd?"- What is it and what to do when you *are* pwned - Malwarebytes Labs | Malwarebytes Labs」において、Hava I Been Pwnedがどういったサイトであるかを説明している。説明されている主な内容は次のとおり。
- Hava I Been Pwned (HIBP)とは何か - オーストラリアのサイバーセキュリティ専門家であるTroy Hunt氏が立ち上げたサイト。Hunt氏はサイバーセキュリティ業界では有名で、とても信頼されている人物。自分の個人情報が流出していないか、企業の情報漏洩によって流出したデータの一部に含まれていないかを確認することができる。サービスは透明性をもって運営されている。
- Have I Been Pwnedは合法的なサイトか - 合法的なサイト。登場してから約10年が経過し、ユーザーや政府、組織にとって欠かすことのできないツールとなっている。英国、オーストラリア、ルーマニアなどの政府と協力してドメインでの侵害などを監視している。
- Have I Been Pwnedは安全か - 「Webサイトでは何も明示的に記録されない。ログは、Google Analytics、Application Insightsのパフォーマンスモニタリングおよびシステムで例外が発生した場合に暗黙的に収集される診断データのみ」と説明されている。
- Have I Been Pwnedではデータはどのように保存されているか - Microsoft Azureのテーブルストレージに保存されている。メールアドレス、ユーザー名、侵害サイトのリストが含まれている。
- Have I Been Pwnedの通知サービスはメールアドレスを保存しているか - 保存している。データ漏洩が発覚した場合の連絡先として保存されている。保存されるのはメールアドレス、登録日、認証用のランダムなトークンのみ。
Have I Been Pwnedを使ってデータ漏洩が発覚した場合、まずパスワードを変更することが推奨されている。パスワードは十分に長く、大文字・小文字・記号・数字を組み合わせる必要がある。また、対応している場合は2要素認証やワンタイムパスワードの使用、ハードウェアキーを使用することなども推奨されている。