「Have I Been Pwned」を使ってパスワードが漏洩しているかチェックする方法を解説
パスワードは簡単に漏洩する
SNSやWebサービスなどではIDとパスワードによる認証を必要とすることがあります。中でも規模が大きなSNSやWebサービスは、毎日のようにサイバー攻撃を受けており、ユーザーのIDとパスワードが漏洩してしまうケースも少なくありません。つまり、自分がいくら気を付けてIDとパスワードを管理していたとしても、漏洩してしまっては意味がないのです。
「ユーザーには自衛できる手段がないのか」と不安に思うかもしれません。実は漏洩したIDとパスワードをデータベースとして管理して、自由に検索できるWebサイトがあります。それが「Have I Been Pwned」というWebサイトです。
このサイトでパスワードが漏洩しているかどうかを確認し、もし漏洩が確認できたら速やかにパスワードを変更するなどの対策が取れます。
漏洩しているパスワードをチェックできる「Have I Been Pwned」とは
「Have I Been Pwned」について
「Have I Been Pwned」ではSNSや企業のWebサイトなどから漏洩したIDとパスワードのデータベースを構築しており、ユーザーは使用しているパスワードが漏洩しているかどうか、自由に検索できるようになっています。
さまざまな機能をもつHave I Been Pwnedですが、このサイトでチェックしたいことは以下の2つです。
- メールアドレスを入力して、それに紐づいているパスワードが漏洩しているかどうか
- パスワードを入力して、そのパスワードが漏洩しているかどうか
まずはこの2つの機能を使って、自分が使用しているパスワードが漏洩しているか確認してみましょう。
https://haveibeenpwned.com/「Have I Been Pwned」は信頼できるサービス?
「Have I Been Pwned」はパスワードのデータベースというセンシティブなデータを取り扱っているため、ユーザーからすると信頼できるサービスであるかどうか気になります。
「Have I Been Pwned」を運営しているのは、オーストラリアのセキュリティ専門家であるTroy Hunt氏です。セキュリティの専門家として信頼できる方ですが、個人が運営しているWebサイトであることに若干不安を感じる方もいるでしょう。
この点についてMalwarebytes LABSというサイトが「"Have I been pwnd?"– What is it and what to do when you *are* pwned」という記事を公開しています。このWebページでは「Have I Been Pwned」の安全性について、以下のように解説しています。
- 「Have I Been Pwned」では明示的なログの保存は行っていない
- イギリスやオーストラリア、ルーマニアなどの政府と協力して政府ドメインの侵害を監視している
- 「Have I Been Pwned」で得られるデータはメールアドレス、ユーザー名、侵害されたWebサイトのリストのみであり、Windows Azure上に保存されている
- 最大限の透明性をもってサービスを運営している
上記のようにTroy Hunt氏は「Have I Been Pwned」を安全かつ信頼性の高いWebサイトとして運営しています。Webサイトの運営に協力している政府もあるくらいですが、やはりサービスを利用するかどうかの判断は自己責任となります。
メールアドレスを入力してチェック
「Have I Been Pwned」 の具体的な使い方を解説します。まずは自分のメールアドレスを入力して、それに紐づいているWebサービスの中からパスワードが漏洩しているもののリストを表示させましょう。
ページを表示させて「email or phone(international format)」の部分にメールアドレスを入力して「pwned?」ボタンをクリックします。
もしメールアドレスに紐づいているパスワードが漏洩しているWebサイトがあると、上記のように「Oh no — pwned!」というメッセージが表示されます。ページを下にスクロールさせると、パスワードが漏洩しているWebサイトのリストが表示されます。
このリストに表示されているWebサイトでは、過去にパスワード漏洩のインシデントが発生しており、その際に自分のメールアドレスとパスワードなどの情報が漏洩していることが確認されています。もしこのリストに含まれているWebサイトのアカウントを現在でも所有しているのであれば、速やかにパスワードを変更するべきです。
パスワードを入力してチェック
「Passwords」のメニューをクリックすると、パスワードを直接入力して、それが過去に漏洩したパスワードであるかどうかのチェックができます。
ここではありがちなパスワードとして「1234」を入力してチェックしてみます。
「1234」というパスワードは、過去に漏洩したパスワードの中で約144万回出現したことがあると分かりました。
もし自分が普段使用しているパスワードの漏洩が確認されたら、別のパスワードへと速やかに変更しましょう。
なお、過去に漏洩が確認されたことがないパスワードの場合、上記のように「Good news — no pwnage found!」というメッセージが表示されます。この場合は一先ず安全といえるでしょう。
パスワードを定期的にチェックしよう
IDとパスワードによる認証が必要なWebサイトは多くあります。ユーザー本人が厳重に管理していても、認証しているWebサイトから情報が漏洩するリスクを考えると、絶対に安全とは言い切れません。
そのため「Have I Been Pwned」を活用して、定期的にパスワードをチェックして、万が一のパスワード漏洩時にパスワードを変更するなどの対策を取るべきでしょう。また二要素認証の導入やパスワードを使いまわさないといった、基本的な対策も不正アクセス防止には効果的です。
参考
- https://wind-mill.co.jp/hibp-password-breach-pwned/(2023年3月17日確認)
- https://news.mynavi.jp/techplus/article/20210521-1891175/(2023年3月17日確認)