自分のメールアドレスやID名で検索するとハッキングされて過去の流出リストに入っていたかどうかがわかる「Have I been pwned?」

by Automobile Italia

Adobeや不倫・浮気サイトのAshley Madison(アシュリー・マディソン)を始めとする大手ウェブサイトがハッカーから攻撃を受けるなどして、個人情報が流出してしまう事件はたびたび起こっています。過去に起こった個人情報流出事件において、自分のメールアドレスやユーザー名が含まれていたのかを検索可能で、もし今後流出したら教えてくれるサイト「Have I been pwned?」がMicrosoftのMVP社員によって公開されています。

Have I been pwned? Check if your email has been compromised in a data breach
https://haveibeenpwned.com/

ということで、公に情報が流出したことのあるサイトのリストは以下の通り。流出件数トップとなっているのは、2013年に1億5000万以上のアカウント情報が流出したAdobeで、2015年に3700万人分の個人情報がダダ漏れになった「人生一度。不倫をしましょう」の不倫・浮気サイト「アシュレイ・マディソン」、2014年にアタッカーに攻撃されたことによって100万ユーザーものアカウント情報が流出したニュースメディアのForbesや、Yahoo!、Gmail、Vodafone、ソニーなど、有名サイトの名前も並んでいます。

Have I been pwned？を作成したのはMicrosoftの地方支配人であり、セキュリティ開発者としてMVPも受賞したことがあるトロイ・ハントさん。誰もが自分の保有するアカウントの危険性を無料かつ簡単にチェックできるようにするため、ウェブサービスを作成したそうです。

FAQにはHave I been pwned？はどのようなデータを保存しているのか？などが説明されています。ハッカーがソフトウェアの脆弱性を突いて不法に得た情報を「ブリーチ」と呼びますが、Have I been pwned？にあるデータは全てウェブサイトから公に流れでた「ブリーチ」情報となっているとのこと。サイト上にある情報はユーザー名とメールアドレスのみで、パスワードなどは保存されていません。

ということで、自分のメールアドレスが流出していないかチェックしてみます。使い方は、トップページにあるテキスト欄にメールアドレスを入力して「pwned？」をクリックするだけでOK。

調べたメールアドレスについては流出がなかったようで、「no pwnage found！」と表示されました。

なお、上記の検索の際には、Pastebinのようなテキストデータを保存・公開できるようなウェブサービスにメールアドレスがペーストされたかどうかも調べてくれているとのこと。ただし、「自分のメールアドレスがペーストされている」という結果がでても、必ずしも個人情報がブリーチの結果として一般公開されているとは言い切れないので、じっくり考えてアカウントの削除やパスワードの変更を行うべき。ペーストは一時的であることが多く、40秒ほどしか表示されないこともあるそうです。

しかし、メールアドレスが検索されなからといって、そのメールアドレスが過去に1度もブリーチされていないとは言い切れないとのこと。Have I been pwned？は可能な限り多くのデータを保有していますが、流出の規模が小さかったものについては含まれていない可能性があるためです。

もしものために、メールアドレスが流出した際にお知らせしてくれる通知機能の登録も可能となっています。

さらに、特定のドメインについて検索するのも可能。ただしドメインの所有者であるという証明が必要で、whoisに登録されているメアドにメール送信・メタタグをページ内に設置・指定されたファイルをルートにアップロード・ドメインのテキストレコードを設定、の4種類のいずれかを選んで管理権限を持っていることを証明すると確認できるようになります。

Androidアプリ、WindowsアプリなどでAPIを使っている人向けのチェックツールも存在します。