【情報セキュリティ強化】情報漏洩のチェックツールとしてHave I Been Pwnedを使う

ツール

1.メールアドレスとパスワードの漏洩チェックをしよう

 今回はメールアドレスを入力するとパスワード漏洩などチェックしてくれるサイトの紹介です。

Have I Been Pwned: Check if your email has been compromised in a data breach

 このサイトを開くと、「email address」の欄があります。ここにあなたのemail addressを入力し「pwned?」を押下すると、そのemail addressの情報漏洩のチェックをしてくれます。

 過去に、情報漏洩のあったサイトのデータの中に、そのemail addressのデータがあるかどうかをチェックしてくれるというものです。

 漏洩したメールアドレス・パスワード・クレジットカード情報などはダークWebと呼ばれる世界で売買されています。そのようなサイトでは人質にされた情報が小出しに公開されていくなど何でもありの世界です。そこに公開された情報を集めてきてチェックすることで情報漏洩の確認ができるわけです。

2.どんな判定が出るのか

 ちなみに、私のemail addressのうちの一つを入力すると以下のような画面が出ます。

2.1 漏洩がある場合

 使っていたサイトが、パスワードを平文で保存していたのですが、その情報が漏洩してどこかに公開されてしまっているようです。おそらくダークウェブ上だと思います。

 そうなるとこのような画面が出て、パスワードを変更しなさいというメッセージが出るわけです。実際、そのメールアドレスを使っていたサイトに漏洩したパスワードでのアクセスがあり、アラートが来たことがあります。幸いにもパスワードは、サイト毎に変えていますが、もし使い回していたら大変でした。でも、メールアドレスだけでも漏洩っていやですよね。セキュリティが弱いと思われて攻撃のターゲットになる危険性があります。

2.2 漏洩がない場合

 漏洩がなかった場合は、以下のように出ます。

 ほっと一安心です。

3.パスワードの使い回しは厳禁です

 パスワードの使い回しなどが問題になっていますが、それはなぜでしょう?

3.1 パスワードを平文で保存している運営者

 それはWebサイトの中に、パスワードを平文で保存しているサイトが多いからというのが理由です。パスワードが平文で保存されていれば漏洩時にはそのまま漏れます。従業員の中に悪意を持った人間がいれば見ればわかる状態です。

3.2 ユーザにも責任あり

 ではなぜそんなリスクのある平文保存をしているのでしょうか。日本の場合、自分のパスワードを忘れて問い合わせるという人が多いと言われています。Webサイトの運営者がそれに答えられるように平文のままで保存してしまっているようです。「パスワードを教えろ!」などと言うユーザーいるんですね。それってセキュリティ意識の欠如ですし、システム開発している開発会社も発注元の要求があればそんなシステムを作ってしまうという何とも残念な構図です。

4 使い回しはやめましょう

 そういう状況であるということをユーザー側も認識して「自己責任でパスワードを管理する」ことと「パスワードの使い回しはしない」ことを肝に銘じて徹底することが必要です。

 もちろん、皆さんご承知のことと思いますが、今回のこのツールでチェックして万が一に備えるのはよりセキュリティ強化に役立つと思います。

 生産性とセキュリティを両立させるためにもっと便利なツールを探して行きたいと思います。

タイトルとURLをコピーしました