パスワード漏洩をチェック「Have I Been Pwned?」の使い方

スポンサーリンク
スポンサーリンク

Have I Been Pwned?

メールアドレスか電話番号を入力するだけで、個人情報やパスワード漏洩を確認することができるサイト「Have I Been Pwned? (HIBP)」の使い方をご紹介します。

Have I Been Pwned? には113億件(2021年6月現在)もの漏洩アカウント情報が蓄積されており、メールアドレスを入力すると、データベースに一致した過去の個人情報流出や情報漏洩事件の情報を表示してくれます。

ここで確認できる情報は、流出元や流出した日時、情報の種類(パスワード等)をはじめ、生年月日や電話番号などの個人情報もあります。

恐ろしい話ですが、流出したメールアドレスやパスワードは、アングラ情報が流通しているダークウェブや闇フォーラムで取引され、さらに入手したパスワードを自動的にSNSやウェブサービス、通販サイトに入力してチェックするというツールまであるそうです。

もし Have I Been Pwned? でメールアドレスやパスワード漏洩を確認したら、パスワードを変更したり、使いまわしを避けるなどの自衛策を取るようにしてください。

Have I Been Pwned? は英語のサイトですが、メールアドレスまたは電話番号を入力するだけなので、誰でも簡単に使えますよ。

スポンサーリンク

Have I been pwned (HIBP) とは

Have I been pwned(HIBP)は、セキュリティ研究者のTroy Hunt(トロイ・ハント)氏が運営しているサイトで、2013年の開設以来、データベースに登録された流出アカウントは113億8840万件、流出したサイトは540件(2021年4月現在)となっています。

Have I been pwned?

漏洩情報のデータベースは随時更新され、漏洩件数のランキングや流出元のサイトも見ることができます。2021年4月に発生したFacebookの個人情報流出も掲載されていますね。

「Pwned websites」を見ると、Yahoo! や LinkedIn、Adobe、Dropbox、Facebook など、かなりの大手でも過去に情報漏洩を起こしていることがわかります。

Have I been pwned? Largest breaches

また、Have I Been Pwned? は、以前に紹介した Firefox Monitor にもデータベースを提供しています。

しかし、パスワード漏洩をチェックできる「Pwned Passwords」や、ドメインごとメールアドレスの検索ができる「Domain search」、外部から漏洩情報を検索できるAPIの利用は Have I Been Pwned にしかない機能で、検索できる情報も Firefox Monitor より多くなっています。

英語サイトなので誰でも使えるわけではありませんが、より詳細に情報を調べる場合は、本家本元の「Have I Been Pwned?」でチェックすることをオススメします。

とはいえ、Firefox Monitor は日本語化されているので、一般の方はこちらの方が使いやすいかもしれませんね。

ちなみに、Have I Been Pwned? の「Pwned」は「owned」から転じたネットスラングで、「打ち負かす、やられる」といった意味があります。

Have I Been Pwned の使い方

では、さっそく Have I Been Pwned を使ってみましょう。以下からアクセスしてください。使い方は自分のメールアドレスまたは電話番号を入力するだけなので、とても簡単です。

Attention Required! | Cloudflare

reCAPTCHAが表示されたらチェックを入れて、ボットではないことを確認します。

reCAPCHAでボット確認

トップページの入力欄にメールアドレスか電話番号を入力して「pwned?」をクリックします。

Have I Been Pwned? メールアドレス入力

漏洩していない場合は「Good news — no pwnage found!」と表示されます。ただし、一部のセンシティブ情報はメール登録ユーザーのみ表示されます。

センシティブ情報については、下の「Notify me でメールアドレスを登録」で説明しています。

Good news — no pwnage found!

個人情報流出や漏洩が確認された場合は「Oh no — pwned!」と表示されます。

Oh no — pwned!

その下を見ると、漏洩元のウェブサービスやファイルが表示され、漏洩した背景や日時、漏洩したアカウント数、漏洩したデータの種類がわかります。

今回入力したメールアドレスは、流出情報コレクションのようなものに含まれていました。そのうちの一つが過去最多とされる漏洩データ「Collection #1」で、2019年1月に公開されています。

Breaches you were pwned in

「Collection #1」は、ウェブサービスやSNSから漏洩したメールアドレスとパスワードの組み合わせ情報で、ファイルには11億6000万件もの情報が記載されていたそうです。

そこから重複する情報や無効なデータを整理し、現在は7億7290万件のメールアドレスと、2122万件のパスワードが Have I Been Pwned で検索可能になっています。

漏洩した情報の背景は、Have I Been Pwned を運営しているTroy Hunt氏のブログに詳しい詳細があり、説明文内にあるリンクから飛べるようになっています。すべて英語ですが、興味のある方は見てください。

The 773 Million Record "Collection #1" Data Breach
Many people will land on this page after learning that their email address has appeared in a data breach I've called "Collection #1". Most of them won't have a ...

Pwned Passwordsでパスワード漏洩を調べる

Have I Been Pwned にはパスワード漏洩を調べることができる「Pwned Passwords」という機能もあります。こちらも使い方は簡単で、パスワードを入力するだけです。

Pwned Passwords

パスワード漏洩が見つからなければ「Good news — no pwnage found!」と表示されます。

Pwned Passwords

漏洩が見つかると「Oh no — pwned!」と表示されます。調べてみたパスワードは「123456」で、何と23,174,662件も見つかりました。単純すぎるパスワードがいかに危険なのかがよくわかりますね。

Pwned Passwords

以下の記事でPwned Passwordsの使い方等を紹介しています。よかったらご覧ください。

Pwned Passwordsで過去のパスワード漏洩をチェックする
過去の個人情報漏洩や情報漏洩事件で流出したパスワードを無料でチェックできるサービス「Pwned Passwords」をご紹介します。使い方はとても簡単で、調べたいパスワードを入力すると、蓄積された漏洩情報データベースに一致したものを表示してくれます。

Notify me でメールアドレスを登録

Have I Been Pwned には、メールアドレスを登録しておくと、今後の情報漏洩発生時に通知してくれるサービスがあり、上部メニューの「Notify me」から登録できます。

また、一部のセンシティブ情報は、登録済みユーザーのみ検索や表示が可能となっています。

センシティブ情報とは、アダルトサイトや公序良俗に反するサイトからの漏洩情報のことです。FAQsの「What is a “sensitive breach”?」にも以下の説明があります。

A sensitive data breach can only be searched by the verified owner of the email address being searched for.
(センシティブ情報の流出は、メールアドレスの確認済み所有者のみ検索できます)

Have I Been Pwnedは他人のメールアドレスでも検索できるので、センシティブ情報はメール認証済みの本人しか見られないという仕組みになっています。

情報漏洩は常にチェックできるわけではないので、通知があると便利です。また、センシティブ情報の表示にも制限がかかるので、できればメールアドレス登録をオススメします。

HIBP Notify me

メニューから「Notify me」に進み、メールアドレスを入力して reCAPTCHA にチェックを入れ、「notify me of pwnage」をクリックします。

HIBP Notify me

入力したメールアドレスに認証用のメールが送られます。

HIBP Notify me

送られてきたメール内の「Verify my email」をクリックしてください。

HIBP Notify me

「Verification complete」と表示されたら認証完了です。

HIBP Notify me

これでセンシティブ情報を表示したり、情報漏洩が見つかった時にメールで通知してくれます。

Have I Been Pwned の安全性

ここで気になるのは、Have I Been Pwned の安全性です。アクティブなメールアドレスやパスワードを入手できるので、その気になればいくらでも悪事を働くことができます。

実際にこういった情報流出チェックのサイトを作成して、メールアドレスやパスワードを不正に収集するという事件も起こっています。

とはいえ、Have I Been Pwned を運営しているTroy Hunt氏は自らの素性を明かしており、Microsoftのセキュリティディレクターで、セキュリティ研究者としても著名な人物です。

Have I Been Pwned: Who, what & why
Have I Been Pwned allows you to search across multiple data breaches to see if your email address or phone number has been compromised.

また、Firefox を開発する Mozilla は、Have I Been Pwned のデータベースとAPIを利用して「Firefox Monitor」を提供しています。

Firefox Monitorの使い方 日本語でパスワード漏洩を確認
過去の情報漏洩事件で流出した自分の個人情報を確認できる「Firefox Monitor」を使って、個人情報やパスワード漏洩をチェックする方法をご紹介します。Firefox Monitorはメールアドレスを入力するだけなので簡単に使えます。

今までの実績や提携先から見て、このサイトは信頼できるし、安全性は十分だと考えてよいでしょう。もちろん、最終的な判断は自己責任です。

個人情報・パスワード漏洩対策

3 Steps to better security

情報漏洩を確認したら、すぐにメールアドレスやパスワードを変更して、セキュリティを強化するなどの対策が必要です。パスワードを使いまわしている場合は、面倒でも全て変更したほうがよいでしょう。

Have I Been Pwned では、パスワードマネージャー「1Password」の利用、2段階認証の導入、通知サービスに登録することを推奨しています。

過去の情報漏洩事件を見ると、厳重にセキュリティ対策を施しているはずのGoogleやHotmail、Yahoo!、Twitter、Facebookといった大手SNSや、ウェブサービスでもメールアドレスやパスワードが流出しています。

これらの情報漏洩は、いくら自分で対策していても防ぎようがないし、漏洩した情報は「ダークウェブ」などで販売され、入手したスパマーやネット詐欺師に悪用される可能性があります。

ウェブサービスやSNSを利用するときは、常にパスワード変更等の手順を確認しておきましょう。

あと、推測されやすい「123456」や「password」「qwerty」といったパスワードは使わないようにしましょう。以下の最悪パスワードランキングにリストアップされているような単純なパスワードは、ほぼ間違いなくパスワードリスト攻撃の対象になると思ってください。

使うと危険! 最悪パスワードランキング
SplashData は最悪のパスワードを選んだランキング「The Top 100 Worst Passwords」を毎年発表しており、123456、password、qwertyを使うと、ハッキングや不正ログインの被害に合う可能性があります。

パスワード管理アプリ 1Password

Have I Been Pwned では、パスワードのセキュリティを向上させるための対策として、パスワード管理アプリ「1Password」の利用を勧めています。

1Password Have I Been Pwned

各サイトごとに長くて複雑なパスワードを設定すると安全性が向上し、もしパスワードが流出しても、そのサイト以外で被害を受けることはありません。

でも、管理するパスワードが100や200にもなると、全て覚えるのは不可能ですよね。

1Passwordはサイトごとに設定した複雑なパスワードを、マスターパスワード1つで全て管理できます。また、PCやスマートフォン、タブレットもすべて共通で管理できます。

さらに、Have I Been Pwned のデータベースを使ったパスワード侵害の監視機能も提供しているので、もしパスワードが流出してもすぐにわかります。

1Passwordの使い方と設定方法は以下をご覧ください。有料のアプリですがそれだけの価値はあります。あのAppleでも全従業員が1Passwordを利用しているそうです。

パスワードを安全に管理 1Passwordの使い方と設定方法
ログインIDやパスワードを安全に管理できるパスワードマネージャ「1Password」をご紹介します。セキュリティ対策のために複雑なパスワードを設定しても、マスターパスワードさえ覚えておけば1Passwordで一括管理できるので安心です。

あと、Chromeブラウザをお使いの方は、Googleが提供するセキュリティツール「パスワードチェックアップ」もオススメです。

タイトルとURLをコピーしました