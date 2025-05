2025年05月20日 12時26分 ネットサービス

パスワード漏えいをチェックできる「Have I Been Pwned」がバージョン2.0に進化



インターネット上でウェブサービスやソーシャルメディアのアカウント情報が漏えいしていないかをチェックできる「Have I Been Pwned」が、バージョン2.0に進化しました。



Troy Hunt: Have I Been Pwned 2.0 is Now Live!

https://www.troyhunt.com/have-i-been-pwned-2-0-is-now-live/





Have I Been Pwnedが完全に再構築されました。ほぼすべてのウェブページの機能が変更され、多くの新機能が追加されています。新しくなったHave I Been Pwnedには以下からアクセス可能です。



Have I Been Pwned: Check if your email address has been exposed in a data breach

https://haveibeenpwned.com/





新しいHave I Been Pwnedの特徴は、フロントページにある大きな検索ボックスです。メールアドレスを入力し、データ漏えいがない場合は紙吹雪が舞う模様。





データ漏えいがない場合、紙吹雪が舞うという演出について、Have I Been Pwnedの開発者であるトロイ・ハント氏は「Have I Been Pwnedは少し遊び心があるウェブサイトです。『ダークウェブ』に関する恐怖を煽るような、怖い場所ではありません。むしろ、私たちは大衆にとってより利用しやすく、誇張のない、事実に基づいた実用的な情報を提供することを目指しています。紙吹雪により少し雰囲気を明るくしてくれるはずです」と説明しました。



一方で、データ漏えいがある場合は以下のように「Data Breach」(データ漏えい)およびその件数が赤文字で表示されます。さらにその下に、データがどこからどのタイミングで漏えいしたのかが、時系列で表示されます。以下の場合は2013年に起きたAdobeユーザーアカウントのデータ漏えいが原因であるというわけ。





また、ユーザー名と電話番号の検索サポートがウェブサイトから削除されています。ユーザー名検索機能は2014年に、電話番号検索機能は2021年に実装されたものです。これらの機能を削除した理由について、ハント氏は「メールアドレスと比較して、ユーザー名と電話番号はデータ侵害から解析するのが非常に困難です」「また、ユーザー名は誰も『所有』していないため通知を送信することができず、電話番号へのSMS送信はメール送信に比べて非常にコストがかかります」「また、『データ漏えいしたかも?』という疑問が生じても、ユーザー名と電話番号は通常、ほとんど漏えいすることはありません」と説明しています。



さらに、各インシデントごとにどういった種類のデータが漏えいしたのかをまとめたのが以下のページ。バージョン2.0に進化したことでHave I Been Pwnedはよりユーザーフレンドリーな形式で表示されるようになっています。なお、新しいHave I Been Pwnedのユニークな点について、ハント氏は「データ侵害後に何をすべきかについて、より的を絞ったアドバイスが提供されている点」と説明しました。





さらに、データ漏えいに対してユーザーが行うべきアクションも表示されます。推奨アクションには「パスワードの変更」「2要素認証の導入」「他のアカウントもデータ漏えいしていないかを確認」「怪しい挙動を監視」「1Password(パスワードマネージャー)の導入」(広告)などが挙げられています。





Have I Been Pwnedには「ドメイン検索ダッシュボード」「有料サブスクリプションの管理画面」「メールアドレスの窃盗ログ」などさまざまな機能があります。これらが中央ダッシュボードに統合されました。画面左のメニューに各種機能がまとめられており、各機能の説明も一目瞭然です。各機能はサインインボタンの下にまとめられており、各機能を使用する前にアカウントにログインする必要があることが明瞭になっているそうです。さらに、将来的にはパスキーをサポートすることも予定している模様。





自分の保有するドメインがデータ漏えいの影響を受けていないか調べることができるドメイン検索機能もあります。





ドメイン検索機能の検索結果には、よりわかりやすい概要が表示されるようになり、メールアドレスだけでなく、強く要望の多かった新機能として最新の侵害情報をドロップダウンで表示できるようになりました。





これらすべての検索はAPIからJSONを返すだけになるため、ダッシュボード全体がシングルページアプリとして機能します。そのためすべての動作が非常に高速です。フィルタリングもドメイン検索の完全なJSONに対してクライアント側でのみ実行されます。このアプローチは、25万件を超える侵害されたメールアドレスのドメインでテスト済みで、問題なく機能しているそうです。



これに加えて、Have I Been Pwnedに公式グッズストアが登場しました。なお、グッズストアで販売されているものはすべて原価で販売されており、一切利益が出ることはないそうで、ハント氏は「ただコミュニティのための楽しい取り組みとして実装されるものです」と説明しています。



Pwned Store

https://merch.haveibeenpwned.com/