インターネットでは、過去に幾度となく大規模なパスワードの漏えい事故が発生しています。たとえこうしたセキュリティ関連のニュースをこまめに追っていたとしても、その全貌を把握するのは容易ではありません。大丈夫だと思っていた自分のパスワードがとっくの昔に漏えいしており、単にその事実を知らないだけ、というケースは少なくありません。

漏えいした5億件のパスワードを保管

 こうした場合に試してみたいのが「Have I Been Pwned」(https://haveibeenpwned.com/)というサイトです。このサイトは、過去にインターネット上で漏えいした約5億件のパスワードデータを保管しており、メールアドレスを入力して検索するだけで、パスワード漏えいの有無、および漏えいしたデータの種類を手軽にチェックできます。

 今年に入ってからはメールアドレス以外にパスワードそのものでの検索も可能になるなど、使い勝手も向上しているこのサイト、実際に試してみると、安全だと思っていたパスワードが、実はかなり前から白日のもとに晒されていたことが分かり、愕然とさせられることもしばしばです。具体的にどのように使えばよいのかを見ていきましょう。

ADVERTISEMENT

「Have I Been Pwned」を使えば、パスワード漏えいの有無を手軽にチェックできます。サイトは英語ですが、メッセージはこの2種類だけで、色も分かりやすいため、英語が苦手な人でも問題なく使えるはずです

トップページでメールアドレスを入力するだけ!

 使い方は、サイトトップページのフォームにメールアドレスを入力して送信するだけ。パスワードの漏えいがなければ「Good news — no pwnage found!」、見つかれば「Oh no — pwned!」というメッセージが表示されます。実際に漏えいが確認できた場合は、漏えい元のサイトに加えて、どんなデータが漏えいしたのか、その種類を教えてくれます。

 筆者が使っているプライベートのアドレスで確認したところ、すでに退会したサービスを含む、5つのサイトからデータの漏えいが確認できました。すべてに共通するのはメールアドレスとパスワードで、ほかにユーザ名や、パスワードのヒントが漏えいしているケースもありました。

パスワードの漏えいがなければ、緑の背景色で「Good news — no pwnage found!」と表示されます。これが表示されれば一安心です
パスワードの漏えいが見つかれば「Oh no — pwned!」というメッセージが表示されます。そのまま下にスクロールすると、漏えい元サイトの一覧が表示されます
2013年に1億5千万件という空前のパスワード流出事故を起こしたAdobeのほか、Dropbox、LinkedInなどからも流出していることが分かります。それぞれの末尾には、流出した情報の種類も記されています