大量のアカウント情報がダークウェブに流出、被害者にならないために

「◯◯のサービスからのアカウントデータが漏洩」といった報道は世界中で頻繁に行われている。サービスを提供するベンダーは自社サービスの利便性と安全性をうたうが、データが本当に機密性の高い情報として慎重に取り扱われているとは限らないのが現実だ。

そして、時々出どころのよくわからない超大量のアカウントデータがダークウェブに出回っているインシデントが報道される。もはやデータ漏洩は珍しい出来事ではなく、誰にでも降りかかってくる災害のような状況にある。

こうした状況にあるにもかかわらず、「自分には関係のないことだ」と、なぜか自分だけは大丈夫だと感じるのが人間というものだ。確率から言えば、あらゆる人のデータが漏洩したアカウントデータに含まれていてもおかしくない。もしそれが事実であれば、迅速にパスワードの変更や被害の確認を行う必要がある。気づかないうちに被害者になっているかもしれないと考えることが大切だ。

あなたのアカウントは大丈夫? Google「Dark Web Report」を使おう

「自分には関係のないことだ」と考えてしまうのは、自分のアカウントデータが漏洩した中に含まれているかどうかを確認するすべがないからだ。本誌ではそうした目的で使用できるサービスとして、何度か「Have I Been Pwned: Pwned Passwords」を取り上げてきた。

今回は、別なツールとしてGoogleの「Dark Web Report」を取り上げる。Googleアカウントのデータ漏洩について確認するなら「Dark Web Report」はうってつけだ。

Googleの「Dark Web Report」は、ユーザーが自分の氏名・メールアドレス・電話番号・住所・ユーザー名・パスワードなどの個人情報がダークウェブ上で流出・流通していないかを自動的に照会して知らせる機能だ。検索結果やMy Activityのダッシュボードから利用でき、検索で見つかった漏洩情報はプライバシー保護のために伏字表示され、ユーザーは該当する項目を確認することが可能。

利用者はモニタリング用のプロファイルを作成して照会対象の情報を登録し、結果画面で「流出が確認された情報」やGoogle側の推奨アクション(パスワードの変更、多要素認証の有効化、検索結果や公開情報の削除申請など)を受け取ることが可能だ。

Dark Web Reportは当初はGoogle One加入者向けに提供が開始されたが、段階的に一般のGoogleアカウント利用者に拡大され、本稿執筆時点ではすべてのユーザー向けに提供されているようだ。

Google Dark Web Reportの使い方

Google Dark Web Reportを使い始めるには「Dark Web Report (ダークウェブレポート)」でセットアップを行う。ページに表示される内容に従ってモニタリングを許可すればよい。

  • 「モニタリングを開始」をクリック

    「モニタリングを開始」をクリック

  • 内容を確認し「完了」をクリック

    内容を確認し「完了」をクリック

  • ダークWebでのスキャンを開始

    ダークウェブでのスキャンを開始

これでDark Web Reportのセットアップは完了だ。同じURLにアクセスするとモニタリング結果が表示されるように変わる。

ダークウェブにアカウントデータが漏洩している場合

ダークウェブにアカウントデータが漏洩している場合、どのサービスやどのインシデントでデータ漏洩が確認されているか、どのデータが漏洩しているかなどを確認することができる。

  • データ漏洩が確認されているアカウントのレポートサンプル

    データ漏洩が確認されているアカウントのレポートサンプル

  • どのデータがどれだけ発見されたかなどの情報を確認できる

    どのデータがどれだけ発見されたかなどの情報を確認できる

  • サービスやインシデントごとに漏洩したデータを確認できる

    サービスやインシデントごとに漏洩したデータを確認できる

  • どのサービスについてどの段階でデータ漏洩が見つかったかを確認できる

    どのサービスについてどの段階でデータ漏洩が見つかったかを確認できる

長く使っているGoogleアカウントにはデータ漏洩が発見されやすい可能性がある。とくに多くのサービスでアカウントIDとして登録したものは漏洩に遭遇しやすい。同じパスワードを複数のアカウントで使いまわすということが、どれだけリスクの高い行為であることがよくわかる。

ダークウェブにアカウントデータが漏洩していない場合

データ漏洩が確認されなかった場合、本稿執筆時点では次のようなページが表示される。

  • データ漏洩が確認されなかった場合のページ

    データ漏洩が確認されなかった場合のページ

  • データ漏洩が確認されなかった場合のページ

    データ漏洩が確認されなかった場合のページ

Google Dark Web Reportにデータ漏洩が表示されなかったとは言え、データ漏洩が発生していないという保証にはならない。Dark Web Reportでモニタリングしているデータに含まれていないだけで、すでにデータ漏洩が発生していないとは言い切れないわけだ。「Have I Been Pwned: Pwned Passwords」など、ほかのサービスも定期的に使って確認を行うことが推奨される。

データ漏洩は他人事じゃない、パスワード管理の基本と対策

Googleアカウントを使っているのであれば、Dark Web Reportの機能は有効にしてモニタリングを行っておきたい。データ漏洩はもはや誰にでも起こり得るものであり、アカウントデータは漏洩するものだと考えておく方が安全だ。

アカウントのデータ漏洩は防止が難しいことだと考えれば、同じパスワードを使いまわすという発想にはならない。サービスごとにパスワードを変えることは最低限必要なことだと理解できる。Dark Web Reportのようなサービスを定期的に確認すること、パスワードは使い回さないこと、強いパスワードを使うこと。長く言われ続けているこの基本的なことを着実に実施していくことが大切だ。