インターネットでは、過去に幾度となく大規模なパスワードの漏えい事故が発生しています。たとえこうしたセキュリティ関連のニュースをこまめに追っていたとしても、その全貌を把握するのは容易ではありません。大丈夫だと思っていた自分のパスワードがとっくの昔に漏えいしており、単にその事実を知らないだけ、というケースは少なくありません。
漏えいした5億件のパスワードを保管
こうした場合に試してみたいのが「Have I Been Pwned」(https://haveibeenpwned.com/)というサイトです。このサイトは、過去にインターネット上で漏えいした約5億件のパスワードデータを保管しており、メールアドレスを入力して検索するだけで、パスワード漏えいの有無、および漏えいしたデータの種類を手軽にチェックできます。
今年に入ってからはメールアドレス以外にパスワードそのものでの検索も可能になるなど、使い勝手も向上しているこのサイト、実際に試してみると、安全だと思っていたパスワードが、実はかなり前から白日のもとに晒されていたことが分かり、愕然とさせられることもしばしばです。具体的にどのように使えばよいのかを見ていきましょう。
トップページでメールアドレスを入力するだけ!
使い方は、サイトトップページのフォームにメールアドレスを入力して送信するだけ。パスワードの漏えいがなければ「Good news — no pwnage found!」、見つかれば「Oh no — pwned!」というメッセージが表示されます。実際に漏えいが確認できた場合は、漏えい元のサイトに加えて、どんなデータが漏えいしたのか、その種類を教えてくれます。
筆者が使っているプライベートのアドレスで確認したところ、すでに退会したサービスを含む、5つのサイトからデータの漏えいが確認できました。すべてに共通するのはメールアドレスとパスワードで、ほかにユーザ名や、パスワードのヒントが漏えいしているケースもありました。
