One IT Thing

IT業界を楽しむ為の学習系雑記

security

SNS他Webサービスの情報流出、セキュリティ事故に巻き込まれたかどうか調べる

投稿日:2019年5月26日 更新日:

FaceBookやCapital Oneなど、サービスに登録されたユーザ情報が漏洩する事件が日々取り沙汰されています。

「もしかしたら自分が登録した情報も漏れてるかもしれない」

そう思って気になったら、セキュリティ漏洩したアカウントがデータベース化されているWebサービス「Have I Been Pwned」 を使って漏洩の有無を調べることが出来ます。

サービス提供元

Microsoft Regional Directorであり、マイクロソフトのセキュリティ開発MVP受賞者Troy Hunt氏が提供しているセキュリティサービス。

サービス利用条件

無し。(アカウント不要、料金無料)。
ただしパスワード流出した際に通知して貰いたい場合はメール登録が必要。

このWebサイトで出来ること

「私はアカウント流出データベースに入れられたことある?」が調べられます。

このサイトには過去に攻撃され、アカウント流出事故を起こしてしまったサイトでの流出アカウントが蓄えられています。これを情報源にして以下を調べることが出来ます。

  1. 入力したEメールアドレスが流出情報に含まれていたか
  2. 入力したパスワードがアカウント流出したサイトで使われていたか
  3. アカウント流出を起こしたサイトとその流出件数
  4. アカウント流出した自分のドメインに登録されていたメールアドレス

また、同機能を提供する「Firefox Monitor」のバックエンドにもなっています。

1.入力したEメールアドレスがアカウント流出したサイトに含まれていたか

「Home」メニューから開きます。今まで78億以上のアカウント流出を検知していることがわかり(2019/05/24時点)、いきなり驚かされます。

地球人口超えちゃってます。

試しに私のgmailアドレスを調べてみます。

流出データベースには入っていないようです。

次にhotmailアドレスを調べてみます。1件データベースに入っていました。

2013年のAdobeアカウント流出事件で、Adobeに登録されていた私のhotmailがアドレスがAdobeアカウントと共に流出しています。

当時FlexやAirでクライアントを開発していたシステムがあったのでその時Adobeにアカウントを登録していました。

世界のどこかに私の当時のAdobeアカウント(ユーザ名、パスワード、メールアドレス)を知っているクラッカーが居るということです。

もう変えているので入れませんが、私が他のサイトへも同じメールアドレス、パスワードでアカウント登録している場合はアカウントを乗っ取られる可能性が出てきます。

2.入力したパスワードがアカウント流出したサイトで使われていたか

「Password」メニューから開きます。

自分がいつも使うようなパスワードを入力してみて、そのパスワードが以前に流出したことがあるかどうか調べられます。

例えば「123456789」を入力してみると・・・7,671,364件も流出しているようです。世の中には結構安直な人が多いのかも。

いまどき数字のみのパスワードを許したり、暗号化せずにユーザのパスワードを保存するシステムは流石に少なくなりましたが、こういったシステムは侵入に対する意識も低かったのかも知れませんね。

クラッカーは流出したことのあるパスワードリストでブルートフォースしてくる可能性もあるので、ここで引っかかるパスワードは使用しない方が良さそうです。

3.アカウント流出を起こしたサイトとその流出件数

「Who’s been pwned」メニューから開きます。私のhotmailが引っかかったアドビの流出事件が載っていました。

「2013年10月に、1億5,300万のアドビのアカウントが侵害され、それぞれに内部ID、ユーザー名、電子メール、暗号化パスワード、およびパスワードヒントがプレーンテキストで含まれていました。パスワードの暗号化はうまく行われておらず、多くはすぐにプレーンテキストに解決されました。暗号化されていないヒントでは、パスワードについて多くのことが明らかにされており、何億ものアドビの顧客がすでに直面しているリスクをさらに高めています。」


https://haveibeenpwned.com/PwnedWebsites

私はおこですよアドビさん。

4.アカウント流出してしまった自分のドメインに登録されていたメールアドレスを調べる

「Domain Search」メニューから開きます。

幸いなことに自分が関連するドメインからアカウント流出したことが無いので調べる意味がありません。調べる際は本当に自分が関連するサイトなのか確認されるようです。

漏洩していることが分かったら他サービスアカウントも確認

もしどこかのサイトで自分のアカウントが流出したことが分かり、他サービスでも同じアカウントID、パスワードを使用していた場合、アカウントを乗っ取られる危険性が高まります。

もうクラッカーのアカウントリストに入ってしまったので、同じアカウントID、パスワードは金輪際使わない方が無難です。

パスワードを考える時もここに載っているようなものは避けたいところです。

このサイト自体の安全性

このサイトにメールアドレスやパスワードを入力して安全なのか?

という話ですが、プライバシー条項にも以下のようにあるので信頼して良さそうです。


When you search for an email address
Searching for an email address only ever retrieves the address from storage then returns it in the response, the searched address is never explicitly stored anywhere. See the Logging section below for situations in which it may be implicitly stored.
Data breaches flagged as sensitive are not returned in public searches, they can only be viewed by using the notification service and verifying ownership of the email address first. Sensitive breaches are also searchable by domain owners who prove they control the domain using the domain search featureRead about why non-sensitive breaches are publicly searchable.

「メールアドレスを検索するとき 電子メールアドレスを検索しても、ストレージからそのアドレスを取得しただけで応答に返されるため、検索されたアドレスが明示的にどこにも格納されることはありません。暗黙的に保存される可能性がある状況については、下記の「ロギング」セクションを参照してください。 機密性の高いフラグが設定されたデータ侵害は公開検索では返されず、通知サービスを使用して電子メールアドレスの所有権を最初に確認することによってのみ閲覧できます。機密違反は、ドメイン検索機能を使用してドメインを管理していることを証明するドメイン所有者によっても検索可能です。機密性の低い侵害が公に検索可能である理由についてお読みください。」


https://haveibeenpwned.com/Privacy

まとめ

膨大な流出データがあることを知るだけで知見があります。「Who’s been pwned」を見ているとFacebook関連の流出が多かったリ、Amazon、Appleは一件も無かったリGAFAにも差が有りますね(載ってないだけでほんとはあったりして・・・)。

その他日本でもニュースになったソニーのPlayStation Network流出事件も載っています。

知見があるし便利なサイトですが、開発者としては自分の関連するシステムがこのサイトに載ることは避けたいです。

-security
-

執筆者:

関連記事

ブラウザでRSA暗号化したデータをサーバで復号する(Angular + JSEncrypt、Spring MVC)【前編】

セキュリティ的にクリティカルなデータをクライアントブラウザで暗号化保存するようにしてみます。 通信経路はHTTPSで暗号化されていてもスマホに重要なデータが平文で残っていたら珠に傷です。 目次1 環境 …

pgcryptoの有効化と共通鍵暗号の動作確認

PostgreSQLで「pgcrypto」拡張機能を有効にすると、PostgreSQLに保存するデータを暗号化出来るようになります。 INSERTする際、共通鍵暗号はpgp_sym_encrypt関数 …

Chrome76でシークレットモード非検知を実現出来なかった件の検証

2019/07/30にChrome76がリリースされました。 76では以前からGoogleが問題視していた「閲覧者がシークレットモードでみているかどうか運営側が分かってしまう」が解決されるはずでした。 …

主要ブラウザに保存させたパスワードの確認方法を比較してみる(Firefoxをメインブラウザにしない理由)

アクセスしたサイトのパスワードをブラウザに覚えてもらったけどなんて入れたっけ? なんてこと結構あるんじゃないかと思います。 各種ブラウザとも覚えさせたパスワードは後から確認が出来るのでそれぞれの方法を …

HTTPS開発環境用、自己署名証明書の作成

すっかりHTTPS必須の時代になり、それに併せてPWA関連、Payment Request API等、HTTPS環境下でないと機能しないAPIが出てきました。 開発を簡便にする為にlocalhostへ …


shingo nakanishi。東京で消耗中の職歴20年越え中年ITエンジニアです。「生涯現役プログラマを楽しむ」ことができる働き方探しをライフワークにしています。

19歳(1996年)から書き始めた個人日記が5,000日を超え、残りの人生は発信をして行きたいと思い、令和元日からこのサイトを開始しました。勉強と試行錯誤をしながら、自分が経験したIT関連情報を投稿しています。