インターネットにはいろいろなWebサービスが公開されており、ユーザーはIDとパスワードで認証して使います。
それらのWebサービスの中には、パスワードが流出してしまった過去があるものも多く、ユーザーの多くは「自分にはあまり関係ないだろう」と考えながら使い続けていることがあります。
実際に被害が発生していなくても、一度、流出してしまったパスワードを使い続けることは、大変危険です。
自分が使っているパスワードがすでに流出してしまっているかどうか、確認するツールがあります。
今回はそのツールを使って、パスワードが既に流出しているかどうか確認する方法について紹介します。
目次
「Have I Been Pwned」90億個の流出したパスワードのデータベース
まず紹介するのは「Have I Been Pwned」というツールです。このツールには2019年11月現在で、約400のWebサイトから流出したパスワード90億個が登録されています。
「Have I Been Pwned」を運営しているのは、セキュリティ研究家のトロイ・ハント氏がです。
彼はMicrosoft MVPを受賞した経歴を持つ立派な研究者です。流出したパスワードというデリケートな情報を扱っていますが、信頼に足る人物と言えるでしょう。
まずは「Have I Been Pwned」のWebサイトを見てみましょう。
ページを開くと、シンプルにメールアドレスを入力するテキストボックスと「pwned?」と書かれたボタンが表示されます。
「pwned」とはセキュリティ業界のネットスラングであり正しくは「Owned」と綴ります。
日本語では「完敗した」とか「やられた」といった意味だそうです。
それでは早速使ってみましょう。まずは普段自分が使っているメールアドレスをテキストボックスに入力して「pwned?」ボタンをクリックします。

もし入力したメールアドレスに関連しているパスワードが流出していると、上の画像のように、「Oh no – pwned!」のメッセージが表示されます。
画面を下にスクロールすると、具体的にどのWebサービスからパスワードが流出しているのか確認できます。

AdobeやDropboxなど有名なWebサービスからパスワードが流出していることがわかります。
具体的に何年何月にどの程度の量のアカウントのパスワードが流出しているのかも知ることができます。
もしメールアドレスを入力して、関連するパスワードが流出していなければ、「Good news – no pwnage found!」のメッセージが表示されます。

この状態であれば、とりあえず現在は大丈夫です。
流出したパスワードのデータベースは現在でも随時更新されています。
公開されている情報は流出元のサイトや流出件数です。もし現在は流出していなくても、これからWebサービスが攻撃を受けたりすると、将来的に流出してしまう可能性があります。
もしセキュリティが気になる人は、定期的に「Have I Been Pwned」でパスワードの流出チェックをすると良いでしょう。
実際にパスワードを入力して流出しているか確認する方法(Pwned Passwords)
先ほどはメールアドレスを入力して、関連するパスワードが流出しているかどうか調べる方法を紹介しました。
次は直接パスワードを入力して、その文字列が流出しているかどうか確認する方法を紹介します。
これも「Have I Been Pwned」のWebサイトで確認できます。

画面上部のメニューから「Passwords」をクリックします。

ここには直接パスワードとして使用している文字列を入力します。早速入力してみましょう。

「This password has been seen 4 times before」のメッセージが表示されました。過去に4件、このパスワードは流出したようです。
ここに試しに「password」と入力してみましょう。

「password」という文字列をパスワードに使っている場合、373万件の流出件数がありました。
このような安易な文字列のパスワードを使っている人が多いことがわかります。

入力したパスワードの文字列が、流出したものでない場合は「Good news – no pwnage found!」のメッセージが表示されます。この場合は安心です。
もしこれから新しくパスワードを設定する時には、まず「Pwned Passwords」で調べてから設定するのが良さそうです。
日本語でパスワードの流出が確認できる「Firefox Monitor」
「Have I Been Pwned」のデータベースを使っているサービスで、日本語で公開されているパスワード流出確認サービスもあります。それが「Firefox Monitor」です。
Firefox Monitor(https://monitor.firefox.com/)
このサイトもメールアドレスを入力して「データ侵害を確認する」ボタンをクリックして調査します。
早速使ってみましょう。

このようにパスワードの侵害があったことが日本語で表示されます。「Have I Been Pwned」のデータベースを使っているサービスなので、調査結果が「Have I Been Pwned」とほぼ同じになりますが、英語が苦手な人は「Firefox Monitor」を使うと良いでしょう。
もし自分のパスワードが流出していたら、どうしたら良いのか
「Have I Been Pwned」や「Firefox Monitor」でパスワードをチェックして、もし流出したパスワードだと判明したらどうしたら良いのでしょうか。対策方法として次の2つがあげられます。
- 複雑なパスワードへ変更する
- 同じパスワードを複数サイトで使いまわさない
複雑なパスワードへ変更する
一度流出してしまったパスワードをなかったことにはできません。
最低でも流出元のWebサービスで使っていたパスワードは変更する必要があります。
変更後のパスワードは最低でも10桁以上の文字長でアルファベットだけでなく記号を混ぜるなどの工夫をして、容易に推測されるような文字列ではないものを設定しましょう。
同じパスワードを複数サイトで使いまわさない
たとえ複雑なパスワードでも、それを複数のWebサービスで使いまわすことは絶対に避けた方が良いでしょう。
複雑なパスワードをWebサービスAとWebサービスBで使いまわしていた場合、WebサービスAでパスワードの流出が発生した場合、攻撃者はWebサービスBに対して、流出したパスワードを使って不正アクセスを試みる可能性があります。
このような攻撃のことを「パスワードリスト攻撃」と言います。パスワードリスト攻撃については、別の記事で詳しく解説しているので、ご確認ください。
まとめ
私が「Have I Been Pwned」のWebサイトを知ったのは仕事がきっかけだったのですが、実際に自分が使っているパスワードが流出していることを知って、すごい衝撃を受けたことを覚えています。
この記事を読んでいる人で、自分のパスワードが流出しているか一度もチェックしたことがない人は、まずはチェックしてみることをおすすめします。
セキュリティで一番気を付けたいのは「自分だけは関係ないと思うこと」です。たとえパスワードが流出していても、適切なパスワードに変更すれば被害が発生する前に対策を取ることができます。
まずは一度パスワードのチェックから始めてみましょう。
こんにちは。ブログランキングから来ました。最近、身に覚えのない請求書が来ました。請求先に連絡して事なきをえたのですが、自分には関係ないと思っていたので衝撃でした。パスワードの流出確認をします。非常に参考になりました。ありがとうございます。
コメントありがとうございます!
身に覚えのない請求書はメールで来ることも多いですよね。ナルカナさんが被害に遭うことがなくてよかったです。
パスワードの流出は、この記事に書いてある通りにやれば、簡単にチェックできるので、ぜひ試してくださいね。