様々なサイトからアカウント(メールアドレスやパスワードを含む)が漏出し、「ダークウェブ」で販売されていたなどという話をニュースなどでよく耳にするようになっています。ある日を境に急に spam メールが大量に届くようになったというような場合にはメールアドレスの流出が疑われるでしょう。メールアドレスの流出で spam が増えるくらいなら ISP のフィルタ機能や Justsystems の「 Shriken」などのメールソフトの自動振り分け機能を使って排除することが出来ますが、中にはパスワードまで流出してしまったという深刻な事件も起きています。
こんな話しを耳にするとやはり自分の情報が流出してしまっていないかどうかは気になるもの。ちょうど「日経 XTECH」に以下のような記事が掲載されていたので紹介してみたいと思います。 上記の記事にもあるように、ネット上に漏洩した情報の中に自分の情報が含まれていないかどうかは「Have I Been Pwned ?(HIBP)」というWebサイトを使って漏洩の有無を確認する事が出来ます。ちなみに「Pwned」という単語は「owend」を意味するネットスラングなのだそうです。
こちらのサイトはセキュリティー研究者の Troy Hunt 氏が2013年12月に公開したサービスだそうで、誰でも無料で利用させて貰うことができます(寄附は募っているそうです)。このサイトの存在自体はだいぶ前から知っていたものの、ここ自体が安全なのかどうかという点が気になっていたので様子を見ていたのですが、各種メディアのサイトや新聞社系のサイトでも記事を見かけるようになっていることを考えるにどうやら大丈夫そうですね。
調べ方は非常に簡単です。メールアドレスを上記画面の検索ボックスに入力して「pwned?」ボタンを押すだけです。入力されたメールアドレスが漏洩情報のデータベースに含まれない場合には、「Good news ― no pwnage found!」と表示され、不幸にも漏洩してしまっている場合には「Oh no ― pwned!」と表示されるそうです。また、漏洩してしまっている場合は漏洩元サイトの数(breached sites)と公開されたことがある数(pastes)が画面下部に表示されてきます。
また、上部にある「Passwords」というメニューからは入力したパスワードの文字列自体が世界中で過去に流出したパスワードとしてのリストに載っているかどうか調べてみることもできます。一般にに使うべきで無いとされている「qwerty」という文字列を試しに検索してみた所なんと 380万件以上ヒット、「12345678」なら 290万件近くがヒットしました。駄目だと言われていても覚えやすいからとこういう文字列を使っている人はやはり結構いるのでしょうね。
FAQに"Absence of evidence is not evidence of absence.(証拠が無いことは、無いことの証明では無い)" と書かれているように、ここで検出されなかったからと言って情報漏洩の被害に遭っていないとは限りません。ただ、何かおかしな動き(spam増加など)があった際のひとつの目安とすることはできるでしょう。幸い私の情報は今のところ大丈夫なようでした。
