security

SNS他Webサービスの情報流出、セキュリティ事故に巻き込まれたかどうか調べる

投稿日:2019年5月26日 更新日:

FaceBookやCapital Oneなど、サービスに登録されたユーザ情報が漏洩する事件が日々取り沙汰されています。

「もしかしたら自分が登録した情報も漏れてるかもしれない」

そう思って気になったら、セキュリティ漏洩したアカウントがデータベース化されているWebサービス「Have I Been Pwned」 を使って漏洩の有無を調べることが出来ます。

サービス提供元

Microsoft Regional Directorであり、マイクロソフトのセキュリティ開発MVP受賞者Troy Hunt氏が提供しているセキュリティサービス。

サービス利用条件

無し。(アカウント不要、料金無料)。
ただしパスワード流出した際に通知して貰いたい場合はメール登録が必要。

このWebサイトで出来ること

「私はアカウント流出データベースに入れられたことある?」が調べられます。

このサイトには過去に攻撃され、アカウント流出事故を起こしてしまったサイトでの流出アカウントが蓄えられています。これを情報源にして以下を調べることが出来ます。

  1. 入力したEメールアドレスが流出情報に含まれていたか
  2. 入力したパスワードがアカウント流出したサイトで使われていたか
  3. アカウント流出を起こしたサイトとその流出件数
  4. アカウント流出した自分のドメインに登録されていたメールアドレス

また、同機能を提供する「Firefox Monitor」のバックエンドにもなっています。

1.入力したEメールアドレスがアカウント流出したサイトに含まれていたか

「Home」メニューから開きます。今まで78億以上のアカウント流出を検知していることがわかり(2019/05/24時点)、いきなり驚かされます。

地球人口超えちゃってます。

試しに私のgmailアドレスを調べてみます。

流出データベースには入っていないようです。

次にhotmailアドレスを調べてみます。1件データベースに入っていました。

2013年のAdobeアカウント流出事件で、Adobeに登録されていた私のhotmailがアドレスがAdobeアカウントと共に流出しています。

当時FlexやAirでクライアントを開発していたシステムがあったのでその時Adobeにアカウントを登録していました。

世界のどこかに私の当時のAdobeアカウント(ユーザ名、パスワード、メールアドレス)を知っているクラッカーが居るということです。

もう変えているので入れませんが、私が他のサイトへも同じメールアドレス、パスワードでアカウント登録している場合はアカウントを乗っ取られる可能性が出てきます。

2.入力したパスワードがアカウント流出したサイトで使われていたか

「Password」メニューから開きます。

自分がいつも使うようなパスワードを入力してみて、そのパスワードが以前に流出したことがあるかどうか調べられます。

例えば「123456789」を入力してみると・・・7,671,364件も流出しているようです。世の中には結構安直な人が多いのかも。

いまどき数字のみのパスワードを許したり、暗号化せずにユーザのパスワードを保存するシステムは流石に少なくなりましたが、こういったシステムは侵入に対する意識も低かったのかも知れませんね。

クラッカーは流出したことのあるパスワードリストでブルートフォースしてくる可能性もあるので、ここで引っかかるパスワードは使用しない方が良さそうです。

3.アカウント流出を起こしたサイトとその流出件数

「Who’s been pwned」メニューから開きます。私のhotmailが引っかかったアドビの流出事件が載っていました。

「2013年10月に、1億5,300万のアドビのアカウントが侵害され、それぞれに内部ID、ユーザー名、電子メール、暗号化パスワード、およびパスワードヒントがプレーンテキストで含まれていました。パスワードの暗号化はうまく行われておらず、多くはすぐにプレーンテキストに解決されました。暗号化されていないヒントでは、パスワードについて多くのことが明らかにされており、何億ものアドビの顧客がすでに直面しているリスクをさらに高めています。」


https://haveibeenpwned.com/PwnedWebsites

私はおこですよアドビさん。

4.アカウント流出してしまった自分のドメインに登録されていたメールアドレスを調べる

「Domain Search」メニューから開きます。

幸いなことに自分が関連するドメインからアカウント流出したことが無いので調べる意味がありません。調べる際は本当に自分が関連するサイトなのか確認されるようです。

漏洩していることが分かったら他サービスアカウントも確認

もしどこかのサイトで自分のアカウントが流出したことが分かり、他サービスでも同じアカウントID、パスワードを使用していた場合、アカウントを乗っ取られる危険性が高まります。

もうクラッカーのアカウントリストに入ってしまったので、同じアカウントID、パスワードは金輪際使わない方が無難です。

パスワードを考える時もここに載っているようなものは避けたいところです。

このサイト自体の安全性

このサイトにメールアドレスやパスワードを入力して安全なのか?

という話ですが、プライバシー条項にも以下のようにあるので信頼して良さそうです。


When you search for an email address
Searching for an email address only ever retrieves the address from storage then returns it in the response, the searched address is never explicitly stored anywhere. See the Logging section below for situations in which it may be implicitly stored.
Data breaches flagged as sensitive are not returned in public searches, they can only be viewed by using the notification service and verifying ownership of the email address first. Sensitive breaches are also searchable by domain owners who prove they control the domain using the domain search featureRead about why non-sensitive breaches are publicly searchable.

「メールアドレスを検索するとき 電子メールアドレスを検索しても、ストレージからそのアドレスを取得しただけで応答に返されるため、検索されたアドレスが明示的にどこにも格納されることはありません。暗黙的に保存される可能性がある状況については、下記の「ロギング」セクションを参照してください。 機密性の高いフラグが設定されたデータ侵害は公開検索では返されず、通知サービスを使用して電子メールアドレスの所有権を最初に確認することによってのみ閲覧できます。機密違反は、ドメイン検索機能を使用してドメインを管理していることを証明するドメイン所有者によっても検索可能です。機密性の低い侵害が公に検索可能である理由についてお読みください。」


https://haveibeenpwned.com/Privacy

まとめ

膨大な流出データがあることを知るだけで知見があります。「Who’s been pwned」を見ているとFacebook関連の流出が多かったリ、Amazon、Appleは一件も無かったリGAFAにも差が有りますね(載ってないだけでほんとはあったりして・・・)。

その他日本でもニュースになったソニーのPlayStation Network流出事件も載っています。

知見があるし便利なサイトですが、開発者としては自分の関連するシステムがこのサイトに載ることは避けたいです。

-security
-

執筆者:

関連記事

HTTPS開発環境用、自己署名証明書の作成

(2020/09/18追記) mkcertを使ってより簡単に完璧なSSL証明書を作ることができました。 ささっと開発用のHTTPSサーバを作りたい時はmkcert使った方が良いですね。 One IT …

電子署名法で求められる「本人性」と「非改ざん性」の実現方法をざっくり理解する

2019年現在ではマイナンバーカードが流通し始め、インターネット上で公的な申請が完了できる体制が整いつつあります。 日本は古式ゆかしい申請制度がしっかりしているのでなかなか諸外国より電子化が進みません …

ブラウザでRSA暗号化したデータをサーバで復号する(Angular + JSEncrypt、Spring MVC)【後編】

前回の続きです。One IT ThingブラウザでRSA暗号化したデータをサーバで復号する(Angular + JSEncrypt、Spring …https://one-it-thing.com …

ブラウザでRSA暗号化したデータをサーバで復号する(Angular + JSEncrypt、Spring MVC)【前編】

セキュリティ的にクリティカルなデータをクライアントブラウザで暗号化保存するようにしてみます。 通信経路はHTTPSで暗号化されていてもスマホに重要なデータが平文で残っていたら珠に傷です。 目次1 環境 …

pgcryptoで公開鍵暗号の動作確認

共通鍵暗号で暗号化されたデータはパスワードが漏洩すると復号される危険が高まるのに対し、公開鍵暗号で暗号化されたデータは秘密鍵とパスワードの二つが漏洩しないと復号できません。 APサーバとDBサーバ通信 …

 

shingo.nakanishi
 

東京在勤、職歴2n年中年ITエンジニアです。まだ開発現場で頑張っています。

19歳(1996年)から書き始めたアウトプット用プライベートWeb日記数が5,000日を超え、残りの人生は発信をして行きたいと思い、令和元日からこのサイトを開始しました。勉強と試行錯誤をしながら、自分が経験したIT関連情報を投稿しています。

私と同じく、今後IT業界で生計を立てて行きたいと考えている方や、技術共有したいけど仲間が居なくて孤独、といった方と一緒に成長、知識共有して行けたら楽しいな、と思っています。