メールアドレスか電話番号を入力するだけで、個人情報やパスワード漏洩を確認することができるサイト「Have I Been Pwned? (HIBP)」の使い方をご紹介します。
Have I Been Pwned? には、780件の流出サイトや136億件もの漏洩アカウント情報(2024年7月現在)が蓄積されており、メールアドレスを入力すると、データベースに一致した過去の個人情報流出や情報漏洩事件の情報を表示してくれます。
ここで確認できる情報は、流出元や流出した日時、情報の種類(パスワード等)をはじめ、生年月日や電話番号などの個人情報もあります。
Have I Been Pwned? は日本語に対応していませんが、メールアドレスまたは電話番号を入力するだけで使えるので、簡単にパスワード漏洩をチェックすることができます。
Have I been pwned (HIBP) とは
Have I been pwned(HIBP)は、セキュリティ研究者のTroy Hunt(トロイ・ハント)氏が運営している個人情報流出確認webサービスです。
2013年の開設以来、データベースに登録された流出アカウントは136億1475万件、流出したサイトは780件(2024年7月現在)となっており、その数はどんどん増えています。
漏洩情報のデータベースは随時更新され、漏洩件数のランキングや流出元のサイトも見ることができます。2021年4月に発生したFacebookの個人情報流出も掲載されていますね。
「Pwned websites」を見ると、Yahoo! や LinkedIn、Adobe、Dropbox、Facebook など、かなりの大手でも過去に情報漏洩を起こしていることがわかります。
ダークウェブへの漏洩もチェックできる
Have I Been Pwned?は、ダークウェブ上に流通している情報もチェックできます。
また、ダークウェブだけでなく、FBIや警察などの国際的な法執行機関から情報提供を受け、マルウェアEmotetの感染によって流出した情報も確認できるようになっています。
恐ろしい話ですが、流出したメールアドレスやパスワードは、アングラ情報が流通しているダークウェブや闇フォーラムで取引され、さらに入手したパスワードを自動的にSNSやウェブサービス、通販サイトに入力してチェックするというツールまであるそうです。
ダークウェブで悪用されないように、Have I Been Pwned? でメールアドレスやパスワード漏洩を確認したら、パスワードの変更や使いまわしを避けるなどの自衛策を取ってください。
Have I Been Pwned? の意味
Have I Been Pwned? を日本語に訳すと「やられた?」「漏れてた?」という意味になります。
Have I Been Pwned? の「Pwned」は「owned」から転じたネットスラングで、日本語に訳すと「打ち負かす、やられる」といった意味になります。
ちなみに「pwned」はスラングのためか、Deeplでは翻訳できませんでした。
Have I Been Pwned の使い方
では、さっそく Have I Been Pwned を使ってみましょう。以下のリンクからアクセスしてください。使い方は自分のメールアドレスまたは電話番号を入力するだけなので、とても簡単です。
Have I Been Pwnedへのリンク have i been pwned?
reCAPTCHAが表示されたらチェックを入れて、ボットではないことを確認します。
トップページの入力欄にメールアドレスか電話番号を入力して「pwned?」をクリックします。
漏洩していない場合は「Good news — no pwnage found!」と表示されます。ただし、一部のセンシティブ情報はメール登録ユーザーのみ表示されます。
センシティブ情報については、記事内の項目「センシティブ情報とは」で説明しています。
個人情報流出や漏洩が確認された場合は「Oh no — pwned!」と表示されます。
その下を見ると、漏洩元のウェブサービスやファイルが表示され、漏洩した背景や日時、漏洩したアカウント数、漏洩したデータの種類がわかります。
今回入力したメールアドレスは、流出情報コレクションのようなものに含まれていました。そのうちの一つが過去最多とされる漏洩データ「Collection #1」で、2019年1月に公開されています。
「Collection #1」は、ウェブサービスやSNSから漏洩したメールアドレスとパスワードの組み合わせ情報で、ファイルには11億6000万件もの情報が記載されていたそうです。
そこから重複する情報や無効なデータを整理し、現在は7億7290万件のメールアドレスと、2122万件のパスワードが Have I Been Pwned で検索可能になっています。
漏洩した情報の背景は、Have I Been Pwned を運営しているTroy Hunt氏のブログに詳しい詳細があり、説明文内にあるリンクから飛べるようになっています。すべて英語ですが、興味のある方は見てください。
Have I Been Pwned 電話番号を調べる
Have I Been Pwned は電話番号の漏洩も調べることができます。
入力欄に電話番号を入力して「pwned?」をクリックすると、結果が表示されます。ただし、日本で使っている電話番号をそのまま入力しても、正しい調査結果はわかりません。
入力欄には(international format)とあるので、電話番号も国番号から入力する必要があります。
一例として、携帯番号を調べるときは、頭の0を取って日本の国番号+81を追加します。ハイフンは入力不要です。
- 修正前: 090-1234-5678
- 修正後: +819012345678
Have I Been Pwned でこの電話番号を調査すると、すでに漏洩していることがわかりました。
電話番号の漏洩はFacebookからでした。2021年にFacebookのユーザー情報が大規模に公開されるという事件があり、その時にこの電話番号も含まれていたようです。
Pwned Passwordsでパスワード漏洩を調べる
Have I Been Pwned にはパスワード漏洩を調べることができる「Pwned Passwords」という機能もあります。こちらも使い方は簡単で、パスワードを入力するだけです。
パスワード漏洩が見つからなければ「Good news — no pwnage found!」と表示されます。
漏洩が見つかると「Oh no — pwned!」と表示されます。調べてみたパスワードは「123456」で、何と23,174,662件も見つかりました。単純すぎるパスワードがいかに危険なのかがよくわかりますね。
以下の記事でPwned Passwordsの使い方等を紹介しています。よかったらご覧ください。
Notify me で情報漏洩を通知
Have I Been Pwned には、メールアドレスを登録しておくと、情報漏洩が発生した時に通知してくれるサービスがあり、上部メニューの「Notify me」から登録できます。
また、一部のセンシティブ情報は、Notify meで登録済みユーザーのみ検索や表示が可能となっています。
センシティブ情報とは
センシティブ情報とは、アダルトサイトや公序良俗に反するサイトからの漏洩情報のことです。FAQsの「What is a “sensitive breach”?」にも以下の説明があります。
(センシティブ情報の流出は、メールアドレスの確認済み所有者のみ検索できます)
Have I Been Pwnedは自分以外のメールアドレスでも検索できるので、もし漏洩情報にアダルトサイトや公序良俗に反するサイトが含まれていた場合、そこにアクセスしていたことが他人にバレてしまうかもしれません。
そのため、センシティブ情報はメール認証済みの本人しか見られないようになっています。
情報漏洩は常にチェックできるわけではないので、通知があると便利です。また、センシティブ情報の表示にも制限がかかるので、できればメールアドレス登録をオススメします。
Notify me にメールアドレスを登録
では、メールアドレスを登録してみましょう。メニューから「Notify me」に進み、メールアドレスを入力して reCAPTCHA にチェックを入れ、「notify me of pwnage」をクリックします。
入力したメールアドレスに認証用のメールが送られます。
送られてきたメール内の「Verify my email」をクリックしてください。
「Verification complete」と表示されたら認証完了です。
これでセンシティブ情報を表示したり、情報漏洩が見つかった時にメールで通知してくれます。
Have I Been Pwned の安全性
ここで気になるのは、Have I Been Pwned の安全性です。
もしHave I Been Pwnedの偽サイトがあれば、アクティブなメールアドレスやパスワードを入手できるので、その気になればいくらでも悪事を働くことができます。
実際にこういったパスワード流出チェックの偽サイトを作成して、メールアドレスやパスワードを不正に収集するという事件も起こっています。
とはいえ、Have I Been Pwned を運営しているTroy Hunt氏は自らの素性を明かしており、Microsoftのセキュリティディレクターで、セキュリティ研究者としても著名な人物です。
また、Have I Been PwnedはFBIや警察などの国際的な法執行機関から情報提供を受けており、Firefox を開発する Mozilla は、Have I Been Pwned のデータベースとAPIを利用して「Firefox Monitor」を提供しています。
今までの実績や提携先から見て、Have I Been Pwnedは信頼できるし、安全性は十分だと考えてよいでしょう。もちろん、最終的な判断は自己責任です。
パスワードをハッシュ化して入力
また、どうしてもHave I Been Pwnedにパスワードを入力したくない場合は、ハッシュ化したパスワードで漏洩を調べることもできます。
まずはパスワードをSHA1でハッシュ化して、生成されたハッシュ値の先頭5文字をHave I Been Pwned?に送信し、返ってきたハッシュ値の一覧から、該当の値が含まれているかを調べます。
含まれていれば、そのパスワードは過去に漏洩しています。この方法なら、パスワードを直接入力せずに漏洩の確認ができます。
もしパスワードが漏れていたら
Have I Been Pwnedを使って、もし個人情報やパスワードが漏れていたら、すぐにメールアドレスやパスワードを変更して、セキュリティを強化するなどの対策が必要です。
パスワードを使いまわしている場合は、面倒でも全て変更したほうがよいでしょう。
Have I Been Pwned では、パスワードマネージャー「1Password」の利用、2段階認証の導入、通知サービスに登録することを推奨しています。
過去の情報漏洩事件を見ると、厳重にセキュリティ対策を施しているはずのGoogleやHotmail、Yahoo!、Twitter、Facebookといった大手SNSや、ウェブサービスでもメールアドレスやパスワードが流出しています。
これらの情報漏洩は、いくら自分で対策していても防ぎようがないし、漏洩した情報は「ダークウェブ」などで販売され、入手したスパマーやネット詐欺師に悪用される可能性があります。
ウェブサービスやSNSを利用するときは、常にパスワード変更等の手順を確認しておきましょう。
あと、「123456」や「password」「qwerty」といった単純なパスワードは使わないようにしましょう。
以下の最悪パスワードランキングにリストアップされているような単純なパスワードは、ほぼ間違いなくパスワードリスト攻撃の対象になると思ってください。
Have I Been Pwned は日本語に対応せず
Have I Been Pwned? は日本語に対応していませんが、メールアドレスまたは電話番号を入力するだけで使えるので、簡単にパスワード漏洩をチェックすることができます。
あと、以下で紹介するFirefox Monitor は日本語化されているので、英語が苦手な方はFirefox Monitorの方が使いやすいかもしれません。
Firefox Monitorの使い方 Firefox Monitorの使い方 日本語でパスワード流出を確認
Have I Been Pwned? は、Firefox Monitor に漏洩したサイトやパスワードのデータベースを提供しています。
Firefox Monitorは日本語化されているので使いやすいですが、より詳細に情報を調べる場合は、本家本元の「Have I Been Pwned?」でチェックすることをオススメします。
パスワード漏洩をチェックできる「Pwned Passwords」や、ドメインごとメールアドレスの検索ができる「Domain search」、外部から漏洩情報を検索できるAPIの利用は Have I Been Pwned? にしかない機能で、検索できる情報も Firefox Monitor より多くなっています。
パスワード管理アプリ 1Password
Have I Been Pwned では、パスワードのセキュリティを向上させるための対策として、パスワード管理アプリ「1Password」の利用を勧めています。
各サイトごとに長くて複雑なパスワードを設定すると安全性が向上し、もしパスワードが流出しても、そのサイト以外で被害を受けることはありません。
でも、管理するパスワードが100や200にもなると、全て覚えるのは不可能ですよね。
1Passwordはサイトごとに設定した複雑なパスワードを、マスターパスワード1つで全て管理できます。また、PCやスマートフォン、タブレットもすべて共通で管理できます。
さらに、Have I Been Pwned のデータベースを使ったパスワード侵害の監視機能も提供しているので、もしパスワードが流出してもすぐにわかります。
1Passwordの使い方と設定方法は以下をご覧ください。有料のアプリですがそれだけの価値はあります。あのAppleでも全従業員が1Passwordを利用しているそうです。
あと、Chromeブラウザをお使いの方は、Googleが提供するセキュリティツール「パスワードチェックアップ」もオススメです。
Twitterで漏洩サイト情報をチェック
漏洩サイトの最新情報をいち早くチェックするなら、Have I Been Pwned のX (Twitter)フォローをオススメします。英語なのでポストを翻訳してください。
X (Twitter) Have I Been Pwned