もし漏えいしていたらどうすれば良い?
さて、こうしたデータの漏えいが発覚した場合、具体的に何をすればよいのでしょうか。このサイトが保管している漏えい済みのデータはネット上に拡散しているものを収集、保管しているだけですので、このサイトからのみ削除してもらうのは無意味ですし、漏えい元に対してクレームをつけたからといって、世の中からきれいさっぱり消え失せるわけではありません。
ではどうすればいいかというと、これら漏えいしたパスワードを、別のものに変更するというのが、現実的な解決策になります。ただしここで気をつけたいのが、漏えい元のサイトにアクセスしてパスワードを変更するだけでは、まったく不十分だということです。
というのも、悪意のある第三者がこれらメールアドレスとパスワードの組み合わせを入手した場合、それらを使って不正アクセスを試みるのは、漏えい元のサイトだけとは限らないからです。
「サイトごとに異なるパスワードを使うべし」
つまりAというサービスからメールアドレスとパスワードの組み合わせが流出したとして、悪意のある第三者は、BというサービスやCというサービスでも、これら組み合わせを使い、不正なアクセスを試みようとするからです。従って、他のサイトで同じメールアドレスとパスワードの組み合わせを使っていた場合は、それらも合わせて変更しない限り、不正アクセスの危険にさらされ続けることになります。
よく「サイトごとに異なるパスワードを使うべし」と言われるのは、まさにこれが理由です。あらゆるサイトで共通のパスワードを使っていた人は、これを機会にパスワードマネージャソフトなどを導入し、サイトごとに異なるパスワードに変更すべきでしょう。
「Have I Been Pwned」自体は大丈夫なの?
ところで、ここまで読んでいただいた皆さんの中で、このサービス自体の安全性に問題はないのか、一切の疑問を持たなかった人は、この種の詐欺に引っかかりやすい傾向が、残念ながらやや高いと言えます。
なぜなら、こうした有益なサービスに偽装することにより、メールアドレスやパスワードを不正に収集する手口もまた、ネット上に存在するからです。無料でチェックできるという口車に乗って、安全性を確かめずにメールアドレスをホイホイと入力しているようでは、この先、自らパスワードを漏えいしてしまう危険が高いと言えます。
少々厳しいことを書きましたが、このサービスに限って言えば、運営者はMicrosoftのセキュリティ担当のスタッフであることを明かしていますし、これまで数年間に渡って運営され、何ら問題を起こしていませんので、一定の安全性は担保されていると考えられます。もちろん未来永劫にわたって保証できるわけではありませんが、少なくとも現段階では、信頼に値するサイトとみてよいでしょう。
この「Have I Been Pwned」、今回紹介した機能以外にも、メールアドレスではなくパスワードを入力して漏えいの有無をチェックできるほか、メールアドレスを登録しておくことで新たな情報漏えいが発生した際に通知してくれる機能も備えていますので、うまく使えば心強いサービスと言えるでしょう。
