無料で自分のメールアドレスが流出しているかどうかを教えてくれる「Have I been pwned?」が買い手を募集中

by JanBaby

自分のメールアドレスやパスワードが企業の個人情報流出事件の際に流出していないかを調べられる無料サービス「Have I been pwned?」は企業や政府、法執行機関にも使われる世界規模のサービスですが、実は運営はたった1人の人物によって行われています。しかし、Have I been pwned?の規模が大きくなりあまりにもタスクが膨大になって手に負えなくなったということで、Have I been pwned?が買い手を募集中です。

Troy Hunt: Project Svalbard: The Future of Have I Been Pwned
https://www.troyhunt.com/project-svalbard-the-future-of-have-i-been-pwned/

大手ウェブサイトやウェブサービスをハッカーが攻撃し消費者の個人情報が流出するのを目の当たりにしたオンラインセキュリティの専門家でありMicrosoftのMVP社員であるTroy Huntさんは、「データ流出は今後、より大きな問題になってくる」と感じたことから2013年に「Have I been pwned?」というウェブサービスを公開しました。このサービスは自分のメールアドレスやID名をウェブサイトに入力すると、それが「流出しているか」「どこかで公開されたか」を教えてくれ、かつその後流出があった時に通知してくれるというもの。詳しい使い方は以下の記事から読むことができます。

自分のメールアドレスやID名で検索するとハッキングされて過去の流出リストに入っていたかどうかがわかる「Have I been pwned?」 - GIGAZINE

2013年から2019年にかけて、企業の個人情報流出騒ぎは収まるどころか加速しており、Have I been pwned?を必要とする人は増加の一途をたどっています。2019年6月時点で流出した個人情報は80億件で、300万人もの人がHave I been pwned?からの通知メールが来るようにしており、実際に送られた通知の数は700万回にものぼるとのこと。ウェブサイトの1日のユニークビジター数は何もない日であれば15万人で、何か事件があった日は1000万人もの人が訪れるそうです。

また、Have I been pwned?はメールアドレスの漏れを調べるものですが、パスワード流出について調べる「Pwned Passwords」についてもHuntさんはリリース。これも日々多くのユーザーが使用しているとのこと。

無料で自分のパスワードが過去の漏洩データに載った危険なものかどうかをチェックできるサービス「Pwned Passwords」 - GIGAZINE

Have I been pwned?やPwned Passwordsはビジネス用途のほか、イギリス政府やオーストラリア政府、法執行機関までもが使う世界規模のツールとなっています。しかし、その実情はというと、いずれのサービスもHuntさんが1人で構成やコーディング、日々の流出記録の更新などを行っています。

Huntさんは「アーキテクチャを説明する必要がある」と考えればインフォグラフィックを作成し、流出があった企業のロゴを手動で編集・追加し、データ流出について気づいていない企業に連絡し、メディアのインタビューに対応する……といったあらゆる作業を空き時間で行ってきました。そしてあまりにも作業が膨大すぎて燃え尽き症候群になりかけるとともに、自分が単一障害点となっていることに思い至ったとのこと。

2019年に入り、HuntさんはHave I been pwned?の取得に興味のある組織と「カジュアルな会話」を始めたといいます。そしてKPMGに勤める友人と個人的な事柄について話している時に、Have I been pwned?の新しい「家」を見つけるためにM＆Aを考えることを勧められたとのこと。その後、M＆Aについて詳しい友人と話を進めるうちに何をすべきかがわかってきたとHuntさんは述べています。

何よりもまず最初に、Have I been pwned?のM＆Aが行われていることを明白にするため、プロジェクト名が必要でした。ひどい名前や安っぽい名前をいくつかボツにした後に、Huntさんは世界中の種子を保存する巨大施設「Svalbard Seed Vault」についてふと思い出しました。Svalbardはノルウェー領のスヴァールバル諸島のことです。

文明崩壊や終末に備えて世界中の種子をバックアップして保存する知られざる巨大施設「Svalbard Seed Vault」内部に潜入レポート - GIGAZINE

ノルウェーは自分のキャリアの転機になった場所であり、Svalbard Seed VaultもHave I been pwned?も膨大な数の「記録」を行っていることから、HuntさんはM＆Aを「プロジェクト・スヴァールバル」と命名。プロジェクトに興味を持つ人々と連絡を取り始めました。

Huntさんが買収の際に強調したい点は以下の7つ。

◆1：無料の消費者検索は無料のままであるべき

◆2：買収後もHuntさんはHave I been pwned?に携わり続ける

◆3：自分だけではできなかったことを今後はやる

◆4：今よりもより多くの人にリーチできるようにする

◆5：消費者の行動を変えるための役割を果たす

◆6：組織がHave I been pwned?から利益を得られるようにする

◆7：より多くのデータを公開する

もちろん、Huntさんが人を雇い、Have I been pwned?を商業化するという方法もあります。実際にHuntさんはHave I been pwned?を運営する中で会社を立ち上げたりベンチャーキャピタルに出資してもらう機会を持ったりしましたが、「自分の責任があまりにも重くなってしまう」という理由からその方法を取ることはありませんでした。2019年6月時点でも自分が投資することとなるお金と時間を鑑み、会社を立ち上げることは選択肢に入れていないそうです。