〜経営に役立つ情報・事例を発信するサイト〜
powered by 東京商工会議所

あなたのパスワード漏れてませんか?【IT活用虎の巻】

f:id:tosho-antenna:20210225161142j:plain


自分のパスワードが流失していないか確認してみましょう

近年、多くのサイトでのパスワード流出が問題になっています。
多くの場合、名前・生年月日・メルアド・パスワードのセットで流出しています。

さて、このような流出の際、次に起こる可能性があるのは、なんでしょう?
SNS、アプリ等の乗っ取りです。
普通にアドレスとパスワードを、LINEやAmazon、Facebookなどで使い回ししていませんでしょうか。
同じアドレス、パスワードを使っている場合、それが流出した場合はそのアカウントが乗っ取られる可能性があります。

2段階認証していれば使い回していても突破は無理ですが、そうでない場合はいったん漏れるとそれを総当たりでいろんなサービスにぶつけ、すぐには乗っ取らずにタイミングを待って仕掛けてくるわけです。
つまりFacebookでDMを送ったり、LINEでAmazonやAppleのギフト券買って!とかやられた場合、多くのケースでは数ヶ月どころか数年前から侵入されているわけです。

パスワード流出を確認できるサイト“Have I Been Pwned?”

自分のアドレス・パスワードが流出しているかどうか? なんてなかなか分からないと思います。
そこで、そうした場合に試してみたいのが”Have I Been Pwned?”というサイトです。https://haveibeenpwned.com/

このサイトは、過去にインターネット上で漏えいした膨大な数のパスワードデータを保管しており、メールアドレスを入力して検索するだけで、パスワード漏えいの有無、および漏えいしたデータの種類を手軽にチェックできます。

使い方はメールアドレスを入力するだけ!

使い方ですが、まずはサイトのURL(https://haveibeenpwned.com/)に飛んでください。

f:id:tosho-antenna:20210225151951j:plain


初めての時は、上のような画面がでることがあります。
その場合は、“私はロボットではありません。”の項目にチェックを入れてください。
そうすると、画像による確認画面が表示されます。画面の指示に従って対応して下さい。

きちんとロボットではないことが確認されれば、以下の画面が出ます。

f:id:tosho-antenna:20210225151847j:plain


あとは上の画面の白いテキスト入力欄に確認したいアドレスを入力して右側の[@pwned?] ボタンを押すだけです。

f:id:tosho-antenna:20210225152326j:plain


パスワードが漏えいしていなければ、緑の画面で「Good news — no pwnage found!」と表示されます。
これであればとりあえずセーフです。

f:id:tosho-antenna:20210225152624j:plain


パスワードが漏えいしていれば「Oh no — pwned!」と表示されます。
そのまま下にスクロールすると、漏えい元サイトの一覧が表示されます。

f:id:tosho-antenna:20210225152722j:plain


この場合、一番上は過去に漏えいされたと確認されたリスト、次はbitlyというURL短縮ツール、最後はDropboxからの流出していることがわかります。
それぞれの最後の行に、なにが流出したかも書かれています。
例えば、上の図ではDropboxの最終行が”Compromised data: Email addresses, Passwords”となっており、Dropboxからメルアドとパスワードが流出したとわかります。

“Have I Been Pwned?”って大丈夫なの?

このようなWebでの流出チェックサービスですが、“Have I Been Pwned?”だけではありません。
しかし、出所の不確かなものも多く、逆にメルアドとパスワードを打たせて、その情報をちゃっかり盗んでしまうものもあるようです。
ですので、このサイト以外での確認はお勧めしません

“Have I Been Pwned?”は著名なセキュリティー研究者のトロイ・ハント氏が運営しているもので、彼は米マイクロソフト(Microsoft)のMicrosoft Regional DirectorおよびMicrosoft MVPを受賞しています。
どちらも、マイクロソフトが同社の製品や技術を伝えようと努めた社外の人を表彰する制度(プログラム)であり、出所の明確なサービスと言えます。
ちなみにハント氏はマイクロソフトの社員ではありません。

なお、このサービスですが、ネット上に流出しているすべての情報を網羅しているわけではなく、運営がネット上で流出したリストを取り込んでいるものなので、これでOKだからといって100%安心というわけではありません。
重要なのは、やはり各個人での管理が重要ということです。

漏えい状況チェックのサービスもあります

実は、このような漏えい状況のチェックは、ブラウザによっては随時チェックできるプラグインが存在しています。

  • Google Chrome: Password Checkup
  • Firefox :Firefox Monitor

今後は、自分のPCからの漏えいだけでなく、自分の登録したサービスからの情報漏えいも増加していくと思われます。
登録したサービスからの漏えいの場合、各個人でのセキュリティ意識だけではいかんともしがたいものがあります。
今後は、今回紹介したようなものを使用し、より安全にネットを活用していきましょう。

(※「東商ICTスクエア お役立ちコラム」2019年3月6日に掲載)

 

廣木 秀之
【執筆者プロフィール】
廣木 秀之(ひろき ひでゆき)

有限会社LTシステム 代表
http://www.ltsystem.net/

IT企業にてシステムの企画・構築・設計などを実施後、ITコンサルタントとして独立。コンサルティングにおいては300社以上の支援実績を持つ。東京の東部地域を中心に中小零細企業のIT支援を実施。国や地方自治体などの施策を活用し、それぞれの企業にあった指導を行う。

<この記事に関連するサイト>
はじめてIT活用|東京商工会議所
https://www.tokyo-cci.or.jp/hajimete-it/