セキュリティ対策:メールアドレスやパスワードの漏洩を確認できるサイト

「Have I been pwned?」 SNS & web services

セキュリティ対策はしっかりしていても、強力なパスワードを使っていても、インターネットのサービスを利用していればメールアドレスやパスワード、その他の情報が漏洩してしまう可能性はあります。

時折、「●●サイトから情報が漏洩した」との報道を目にすること、ありますよね?

そうなんです。あなたが利用しているサイトからユーザー情報が漏洩してしまったら、どんなに強力なパスワードを設定していても意味がないというか、完全に安心しきれないというか…。

メールアドレスやパスワードが流出したかどうか、それ以外にどのような付随情報が流出したかを無料で確認できるとても頼りになる流出データ確認サイトをご紹介しましょう。

スポンサーリンク

Have I been pwned?でデータ流出状況を確認する

Have I been pwned?」はマイクロソフトのリージョナル ディレクターであり、開発者セキュリティのMVP (Most Valuable Professional)の受賞者でもあるトロイ ハント氏が開発・運営する漏洩データ確認サイトで、だれでも無料で利用できます。(寄付も送信できます)。

サイトのトップページは、上部にメールアドレスの入力欄があり、中段には、情報漏洩が確認されたサイト数、アカウント数、情報流出数、情報が流出したアカウント数が表示されます。

最下部には、大規模な情報漏洩と最近追加された漏洩情報がリストアップされています。

 

メールアドレスなどの漏洩を確認できるサイト have i been pwned

では、具体的な使い方を説明しましょう。

操作はいたってカンタンです。

メールアドレスの侵害・漏洩/流出を確認する

Have I been pwned?」のトップページ上部に表示されるメールアドレス入力欄にメールアドレスを入力し、[pwned?]をクリックします。

結果は、入力欄の下にすぐに表示されます。

メールアドレスが侵害・漏洩/流出していない場合の結果表示

下図のように緑の背景色で「Good news – no pwnage found! (よかった。侵害や漏洩情報は見つかりませんでした!)」と表示されると安心できますね。

チェックしたメールアドレスは、「侵害されていないし、漏洩も流出もしていない」との説明も結果表示部分に付記されています。

メールアドレスが流出したかを確認する

メールアドレスが侵害・漏洩/流出した場合の結果表示

ところが、メールアドレスの漏洩が確認されると、赤の背景色で「Oh no – pwned! (やばいです 侵害・漏洩/流出情報が見つかりました!)」と表示されます。

下図のケースでは「1件のデータ侵害が見つかりましたが、漏洩/流出情報は見つかりませんでした」と表示されています。

ヤバい…です。

メールアドレスが流出した場合の結果表示01

この結果表示画面を少し下にスクロールすると、どこで侵害が発生したのかがわかります。

下図を参照してください。
和訳概要を画像の下に記します。

メールアドレス漏洩元サイトの情報が表示される

***和訳概要 ここから***

「侵害(Breaches)」とは意図せずにデータが一般公開されたということです。(以下、有料サービス「1Password パスワードマネジャー」の案内)

侵害されたサイト名●●●:2019年5月、グラフィックデザインツールのウェブサイト●●●がデータ侵害され、 1億3700万人の加入者に影響を与えました。公開されたデータには、ソーシャルログインを使用していないユーザーのbcryptハッシュとして保存された電子メールアドレス、ユーザー名、名前、居住地、およびパスワードが含まれていました。(以下、情報提供元についての記述)

侵害されたデータ:電子メールアドレス、地理的な情報、名前、パスワード、ユーザー名

***ここまで***

怖いですねぇ。
私はこのウェブツールを使うことが少なくなってきていたので、アカウントを削除し、メールアドレスのパスワードをすぐに変更しました。加えて、今回チェックしたアドレスで登録しているその他のウェブサービスやウェブツールのパスワードも変更しました。地理的な情報や名前は変更しようがないので、仕方ありませんね。

パスワードの侵害・漏洩/流出を確認する

Have I been pwned?」では、パスワードの状況も確認できます。

画面上部のメニューから「Passwords」を選択し、入力欄に状況確認したいパスワードを入力して[pwned?]をクリックします。

結果はすぐに表示されます。(下図緑の背景部分を参照)

パスワードの侵害・漏洩/流出状況を確認する

上のサンプルの場合、「侵害・漏洩/流出情報は見つからなかった」と表記されています。

しかし、この記述にもある通り、今回は漏洩情報が見つからなかったという結果ですが、現時点でこのサイトに漏洩情報がインデックスされていないだけかもしれません。加えて、今回チェックしたパスワードの安全性を担保するものでもありません。

あくまでも、確認時点における「Have I been pwned?」情報と照らし合わせた結果であることは理解しましょう。

以上 メールアドレスやパスワードの漏洩を確認できるサイト「Have I been pwned?」のご紹介でした。
ご参考になれば幸いです♪