Pwned Passwordsで過去のパスワード漏洩をチェックする

スポンサーリンク
スポンサーリンク

Pwned Passwords

過去の個人情報流出や情報漏洩事件で流出したパスワードを無料でチェックできるサービス「Pwned Passwords」をご紹介します。

Pwned Passwords は、個人情報やパスワード漏洩を確認することができるサイト「Have I Been Pwned? (HIBP)」の一部機能として提供されています。

使い方はとても簡単で、調べたいパスワードを入力すると、Have I Been Pwned? に蓄積された漏洩情報データベースと一致したものを表示してくれます。

同一パスワードの使い回しは危険と言われており、サイバー犯罪者が入手した漏洩パスワードを手当たり次第入力して、芋づる式にアカウントを乗っ取られる可能性があります。

Pwned Passwords でパスワード漏洩を確認したら、1passwordのようなパスワードマネージャーを利用したり、使いまわしを避けるなどの自衛策を取るようにしてください。

英語のサイトですが、パスワードを入力するだけなので、誰でもすぐに使えますよ。

スポンサーリンク

Pwned Passwords の使い方

では、Pwned Passwords を使ってみましょう。まずは 以下からアクセスします。

Have I Been Pwned: Pwned Passwords
Have I Been Pwned allows you to search across multiple data breaches to see if your email address has been compromised.

トップページの入力欄に調べたいパスワードを入れて「pwned」をクリックしてください。

Pwned Passwords

パスワード漏洩が見つからなかった場合は、緑の背景で「Good news — no pwnage found!」と表示されます。

Good news — no pwnage found!

パスワードが過去に漏洩していた場合は、赤い背景で「Oh no — pwned!」と表示されます。調べたパスワードは「abcdef」で、178,998件見つかっています。

Oh no — pwned!

続いて「123456」を調べてみると、何と23,174,662件も見つかりました。この結果を見ると、単純なパスワードを使うのはとても危険だということがわかりますね。

Pwned Passwords

Pwned Passwords の漏洩リストはダウンロードすることができます。元のパスワードを保護するため、リスト化されたパスワードはSHA-1またはNTLMハッシュで暗号化されています。

Downloading the Pwned Passwords list

パスワード使い回しの危険性

パスワード使い回しの危険性

Pwned Passwords でパスワード漏洩を確認したら、すぐにパスワードを変更してください。ここで見つかったパスワードは、いつ攻撃対象になってもおかしくはありません。

流出したパスワードがダークウェブなどの違法サイトに流通すると、サイバー犯罪者がそれを入手して、不正アクセスやスパム、フィッシングなどに利用される可能性があります。

異なるサイトごとに違うパスワードを覚えるのは大変なので、同じパスワードを使い回すことはよくありますが、面倒でも全て変更したほうがよいでしょう。

漏洩したパスワードを他のSNSやウェブサービス、通販サイトに手当たり次第入力してハッキングするツールもあり、パスワードを使いまわしている場合は、芋づる式にアカウントを乗っ取られたり、不正にログインされるかもしれません。

Have I Been Pwned では、パスワードマネージャー「1Password」の利用、2段階認証の導入、通知サービスに登録することを推奨しています。

ちなみに、米国セキュリティ企業 SplashData の2019年度ワーストパスワードTOP50を見ると、10位までは次のようになっています。該当するパスワードを使っている場合は、すぐに変更してください。

  1. 123456
  2. 123456789
  3. qwerty
  4. password
  5. 1234567
  6. 12345678
  7. 12345
  8. iloveyou
  9. 111111
  10. 123123

100位までのランキングは以下をどうぞ。最悪パスワードランキングにリストアップされているような単純なパスワードは、ほぼ間違いなくパスワードリスト攻撃の対象になると思ってください。

使うと危険! 最悪パスワードランキング
SplashData は最悪のパスワードを選んだランキング「The Top 100 Worst Passwords」を毎年発表しており、123456、password、qwertyを使うと、ハッキングや不正ログインの被害に合う可能性があります。

Have I Been Pwned? で情報漏洩をチェック

Pwned Passwords は、セキュリティ研究者のTroy Hunt (トロイ・ハント) 氏が運営しているサイト「Have I Been Pwned? (HIBP)」の一部機能として提供されています。

Have I Been Pwned?

こちらには過去の個人情報漏洩事件で流出した78億件ものアカウント情報(2019年4月現在)がデータベースに蓄積されており、パスワードだけでなく、他の個人情報や漏洩件数、漏洩元のサイトなどもチェックできるので、詳細に調べるなら Have I Been Pwned? の使用をオススメします。

パスワード漏洩をチェック「Have I Been Pwned?」の使い方
個人情報やパスワード漏洩を確認することができるセキュリティ情報サイト「Have I Been Pwned? (HIBP)」をご紹介します。英語のサイトですが、メールアドレスを入力するだけなので、誰でも簡単に情報漏洩の有無を調べることができます。

英語はどうしても苦手という方は、日本語で個人情報漏洩をチェックできる Firefox Monitor を使ってください。こちらも Have I Been Pwned?と 同じデータベースを利用しています。

Firefox Monitorの使い方 日本語でパスワード漏洩を確認
過去の情報漏洩事件で流出した自分の個人情報を確認できる「Firefox Monitor」を使って、個人情報やパスワード漏洩をチェックする方法をご紹介します。Firefox Monitorはメールアドレスを入力するだけなので簡単に使えます。

ただし、利用できる機能や検索できる情報は Have I Been Pwned? よりも制限されています。

Chromeブラウザをお使いの方は、Googleが提供するセキュリティツール「パスワードチェックアップ」のChrome拡張機能をオススメします。

タイトルとURLをコピーしました