アカウント情報 セキュリティの重要性：Have I Been Pwnedとは？

インターネット上でさまざまなWebサービスを利用する際には、「アカウント」を登録することは周知のとおりです。

そのアカウント情報は、「フィッシング」や「不正アクセス」などの悪意ある行為を行う者にとっては、非常に価値のある情報になっています。

私たちは、オンラインショップや、クラウドサービス、SNSといったWebサービスを日常的に利用します。

そのたびに増え続けるのが登録したアカウント情報で、私が登録しているアカウントは100を軽く超えるまでになってしまいました。

さて、皆さんは「Have I Been Pwned?」(HIBP)というオンラインサービスをご存じでしょうか？ 　これはユーザーのアカウント情報が流出したかどうかを確認するためのサービスです。

本サービスについては先日のNHK 地デジの番組でも紹介していました。

本記事では、アカウント侵害を確認できるオンラインサービス「Have I Been Pwned（HIBP）」の概要と使い方について解説いたします。

セキュリティに関しては以下の関連記事も合わせてご覧ください。

1　Have I Been Pwned? の概要

Have I Been Pwned? は、自分の個人情報の漏えいや侵害が生起したことを確認できるウェブサイトで、セキュリティ研究者であるトロイ・ハント（Troy Hunt）氏によって開設、運営されています。

Have I Been Pwned? の意味は、「危険に晒されているのか？」と理解したらよいかと思います。

Have I Been Pwned? でできることは以下のとおりです。

• 個人情報の漏えい確認
   Have I Been Pwned?では、ユーザーが自分のメールアドレスやパスワードを入力し、そのデータが漏えいしていないかチェックできます。
  
  本サイト上で多くのデータベースから収集された情報を検索して、ユーザーが特定のサービスやウェブサイトでの情報漏えいの影響を知るのに役立ちます。
  
  

• 漏えいリスト確認
   Have I Been Pwned? は、過去に漏えいしたウェブサイトやアプリのリストをチェックできます。
  
  
• 漏えいしたパスワードリストの確認
   Have I Been Pwned? は、過去に漏えいしたパスワードのリストをダウンロードしてチェックできます。
  
  

• 通知サービス
   Have I Been Pwned? は、ユーザーが検索した情報が新しいデータ漏洩に関連している場合、通知を受け取ることができます。これにより、ユーザーは早期にセキュリティ上のリスクに気付くことができます。
  
  

• APIの提供
   Have I Been Pwned? は、API（Application Programming Interface）も提供しており、他のサービスやアプリケーションが同様の機能を実装するために利用できます。
  
  

• パスワードの安全性の評価
   Have I Been Pwnedは、一般的なパスワードが過去のデータ漏洩で利用されたことがあるかどうかをチェックできます。これにより、ユーザーはセキュアなパスワードを選択することができます。

2　Have I Been Pwned？の使い方

本サービスはインストールする必要はありません。ブラウザ上で簡単な操作でデータ漏えいの確認ができます。

2-1　メールアドレスの漏えい（盗難）確認

フォームにメールアドレスの文字列を入力して送信すると、過去に漏えい（盗難）したメールアドレスの結果が表示されます。

1. 使っているブラウザは何でもよいので以下のリンクにアクセスします。今回は「Chrome」を利用。
   
   haveibeenpwned.com
   
   
2. トップページの「email address」欄に自分のメールアドレスを入力して、「pwned?」をクリックします。
   
   
   
   
   
3. 自分のデータが漏えいしていなければ、「Good news — no pwnage found!」（よい知らせだ。漏えいしていない。）のメッセージが表示されます。
   
   
   
   
   
4. メールアドレスの漏えいが確認されると、「Oh no — pwned!」（やられた！）のメッセージが表示されます。
   
   
   
   
   下にページをスクロールすると、メールアドレスが漏えいしたWebサービス名と詳細情報が表示されます。
   
   

データの漏えいを確認できた場合は、速やかにパスワードの変更をお勧めします。

2-2　パスワードの漏えい確認

フォームにパスワードの文字列を入力して送信すると、過去に漏えいしたパスワードと照合して結果を表示してくれます。

1. ブラウザからHave I Been Pwned？のトップページを開きます。
   
   
2. 上部メニュータブの「Passwords」をクリックします。
   
   「Password」欄に自分が使用しているパスワードを入力して、「pwned?」をクリックします。
   
   
   
   
   
3. パスワードが漏えいしていなければ「Good news — no pwnage found!」のメッセージが表示されます。
   
   
   
   
   
4. パスワードが漏えいしていると「Oh no — pwned!」のメッセージが表示されます。
   
   
   
   
   
5. 下にスクロールすると、パスワード再利用の危険性などが記述されています。

パスワードの漏えいを確認できたら速やかに変更することをお勧めします。

以下の画像は、よく使われる「password」の文字列を入力して漏えいを確認したものです。965万9365件の漏えいを確認できます。おどおどろしい数字ですね。

「123456」のパスワードを入力すると、3761万5252件の漏えいを確認できます。

誰もが予測できるようなパスワードは避けて、文字列は最低でも10文字以上の長さにするなどの工夫を施すことが大切です。

2-3　漏えいの通知サービス

Have I Been Pwned？には、アカウントが侵害されたときに通知するサービスがあります。それが「Notify me」機能です。

1. ブラウザからHave I Been Pwned？を開き、上部のメニュータブの「Notify me」をクリックします。
   
   
   
   
   
2. 「enter your email address」欄に通知を受けるメールアドレスを入力します。
   
    reCAPTCHAにチェックを付けて「notify me of pwnage」（pwnageを通知する）をクリックします。
   
   
   
   
   
3. 以下の画像が表示されます。
   
   追加したいメールアドレスがある場合は、「add another address」（他のアドレスを追加する）をクリックします。
   
   
   
   
   
4. 入力したメールアドレス宛に確認のメールが届きます。
   
   メッセージ内の「Verify my email」（メールの確認）をクリックします。
   
   
   
   今後の通知を受け取りたくない場合は、「click here to unsubscribe.」をクリックします。
   
   
5. Have I Been Pwned？の画面で「Verification complete」（確認完了）と表示されます。
   
   
   
   

2-4　データ漏えいの詳細情報

「Who’s been pwned」サービスでは、侵害されたウェブサイトや、日付、侵害されたアカウント数、侵害されたデータの種類などの詳細を確認できます。

1. ブラウザからHave I Been Pwned？を開き、上部のメニュータブの「Who’s been pwned」をクリックします。
   
   
   
   
   
2. 下に侵害された一覧が表示されます。
   
   

以上で「アカウント情報 セキュリティの重要性：Have I Been Pwnedとは？」に関する解説を終わります。