have I been pwned?について解説!もし情報漏洩が自分の身に降りかかった場合の対処法とは?
「have I been pwned?」は、データ侵害で盗まれた個人情報を精査し、ユーザーがその被害者に含まれていないかどうかを調べられるように整理してくれるWebサイトであり、データ侵害において欠かせない存在です。
そのサイトにアクセスしてメールアドレスをを入力するだけで、そのメールアドレスの主についてインターネット上に流れているあなたの情報をすべて教えてくれるのです。
しかし、「have I been pwned?」について、複雑な気持ちにならざるを得ません。被害者が「自分の情報がネット上に流出しているか」を発見する方法があるのは素晴らしいですが、一方でこのようなサービスが必要であるという現状から目を背けてはなりません!
データ侵害は、2019年以降大幅に増加しており、減る気配もないため、企業はそれを防ぐためにできる限りのことをしなければなりません。データ侵害から身を守る最善の方法の一つとして、単純にパスワードを変更することが挙げられますが、パスワードの数はますます増えているため、それぞれのパスワードを頻繁に変更するのは不可能に近いです。
そこでパスワードマネージャーを使えば、頻繁にパスワードを変更しても、すべてのパスワードをパスワードマネージャーが記憶して管理してくれるので、自分で覚えておく必要がなくなります。
TeamPasswordのような強固なパスワードマネージャー を使うことで、チームメンバーとの認証情報を共有しやすくなり、企業のデジタル資産に何者かが侵入するのを防ぐことができるのです。
【目次】
Table of Contents
「have I been pwned? (haveibeenpwned.com)」とは?
「have I been pwned?」は、データ漏洩による個人情報を収集・整理するWebサービスです。ユーザーはトップページでメールや携帯電話番号を入力することで、自分が被害者の中に含まれているかどうかを調べることができます。
このサービスは無料ですが、have I been pwned? に寄付するオプションもあるので、ぜひ寄付してみてください!「have I been pwned?」は、政府機関が真っ先に行うべきであった貴重なサービスを提供してくれています!
2015年に発生したAshley Madison社の情報漏えい事件によって脅しメールの恐怖が迫る中、ユーザーは have I been pwned? に殺到し、その結果このWebサイトへのアクセス数は57,000%増加しました!
そこでセキュリティ会社や政府機関が、起こりうるサイバー攻撃に先手を打つため、企業や個人に同サービスの利用を勧めています。
ちなみに、今日 Have I been pwned? には、毎日16万5千人以上が訪問し、300万人以上の購読者のメールリストがあり、侵害されたアカウントのデータベースは約100億あります!
pwned?ってどんな意味?
カタカナ読みだと「ポーンド」と発音する「pwned」は、2000年代前半の人気ゲームである「Warcraft」で、開発者が「owned 」を「pwned」と誤表記してしまったのが由来です。
ゲーム愛好家やインターネット掲示板では、誰かを「所有」することを語る際にこの新語が採用され、ハッカーはネットワークやデバイスに侵入する際に、俗語としてpwnを使います。
こうして、「Have I been pwned?」 が誕生したのです!
haveibeenpwned.com の背後にいる人物
著名なデータ侵害事件が相次いだ後、オーストラリアのセキュリティ専門家であるトロイ・ハント氏は2013年12月に「have I been pwned?」を設立しました。彼は、1億5300万アカウントに影響を与えた2013年のAdobeのデータ侵害が、サービスを始めるきっかけになったと語っています。
トロイが2013年にサービスを開始したとき、彼が認識したデータ侵害は、Adobe Systems、Stratfor、Gawker、Yahoo!Voices、Sony Pictures のわずか5件でした。
今日、Have I been pwned? には、110億以上のアカウントに影響を与える危険な Webサイトが556件もあります!
トロイと彼のチームは、公開されるとすぐにそのWebサイトを更新するためのツールとシステムを作成しました。また、have I been pwned? では、最近追加された侵害事件と最大のデータ侵害事件も掲載されています。ちなみに現在の1位は、7億7300万件のメールアカウントに影響を与えた Collection #1の2019年の侵害事件です。
また、彼はブログでデータ侵害の詳細を公開し、サイバーセキュリティに関して語っています。
「have I been pwned?」の仕組み
have I been pwned? には検索オプションがいくつかあり、ホームページでは、ユーザーはメールや携帯電話番号を入力することで、個々に合った検索を行うことができます。
また、ユーザーはドメイン検索を行うこともできます。これは、企業にとって、自社が被害者に該当するかを判断するのに役立つ機能です。
さらに、have I been pwned? のメーリングリストに登録すると、最新の侵害事件のアップデートや、万が一メールが漏えいした場合の通知などをすぐに受けることができます。
データの収集と分類
データ侵害には、数千から数百万件(極端な例では数十億件)の記録が含まれます。個人情報がある記録もあれば、もっとありふれた記録もありますが、そのような記録をスプレッドシートに書き込んで、特定のユーザーを検索するような単純なものではありません。
記録は必ずしも読みやすいものばかりではありません。ユーザーのアカウント番号やその他の非個人的な識別子を参照することが多く、例えば、クレジットカードの詳細と個人識別子を含む記録を見る場合、実際のユーザーを見つけるには、その識別子を使ってデータベースを検索する必要があります。
また、ユーザーを見つけたとしても、個人情報を全て見るにはフォルダをいくつか検索する必要があるかもしれません。
ただ、何GBものデータを調べて、自分が侵害事件の被害者であるかどうかを確認する時間やリソースを持ち合わせている人は殆どいません。
そこで have I been pwned? を使えば、ユーザーが盗まれたデータをサッと見つけられるように、個人データを全て検索可能なデータベースに整理してくれます!
被害にあった場合の対処法
では、もし自分がデータ侵害の被害者だとわかったら、どうすればいいのでしょうか?
まず最初にしなければならないのは、そのメールアドレスにリンクしているパスワードを全て変更することです。個人アカウントでは毎月、企業では毎週パスワード変更を検討すべきです。
ただ、パスワードを毎月、あるいは毎週変更するとなると、パスワードマネージャーなしでは大変です。そこでTeamPasswordを使えば、ワンクリックでアカウントの認証情報を変更し、全ユーザーのパスワードを更新することができます。
そのアカウントに機密データがある場合は、メールアドレスの変更も検討するといいかもしれません。そうすれば、漏洩したメールに何らかの通信があった場合、それをスパムとしてマークして削除することができます。
最後に、データ侵害に遭った場合に限らず、リンクや添付ファイルのあるメールには細心の注意を払いましょう。たとえ知り合いからのメールであっても、送信者のメールアドレスをきちんと確認する習慣を身につけましょう。
例えば、Slack で誰かがあなたにメッセージを送ったというメールを受け取ったら、そのメールを削除して Slack を別に開きます。これを、WordPress、フライト予約、SNS、マーケティング/業務効率化ツール、その他のWebサイト/アプリのアカウントなど、通知を受け取るアカウント全てで行いましょう。
攻撃者は、パッと見では合法的なソースから偽の通信を送り、リンクをクリックさせたり添付ファイルを開かせたりすることがあります。そうすると、マルウェアがインストールされ、サイバー犯罪者はあなたのデバイスにリモートアクセスできるようになり、個人情報やパスワードを盗むことができるようになってしまいます!
パスワードの保護
パスワードは、デジタル資産やアカウントへの鍵です。自宅やオフィスを鍵やアラームで保護するのと同じように、オンライン上のにあるものを保護しなければなりません。
個人の場合、認証情報の安全な保持は比較的簡単ですが、それでも「油断は禁物」です。
とはいえ、複数のチーム、顧客、フリーランサー、契約/派遣社員と認証情報を共有する企業にとって、パスワード管理はかなり大変です。
特にチームメンバーがメールやスプレッドシートを使って共有する場合、パスワードマネージャーを使って同僚と安全に認証情報を共有していない企業は、攻撃を受けやすくなります。
また、多くの企業が弱いパスワードを使ったり複数のアカウントへのパスワードの使い回しをしているため、それによって攻撃者は簡単に認証情報を推測することができてしまいます!安全なパスワード生成ツールがたくさんある中で、このような行為はまさに飛んで火に入る夏の虫です。
中小企業向けのソリューション 〜TeamPassword〜
莫大なサイバーセキュリティ予算がある大企業は、侵害を防ぐための高度なツールやシステムを利用していますが、それでもサイバー攻撃の犠牲になっています!
中小企業にとって、そのようなサイバーセキュリティツールは、高価すぎる場合がほとんどです!
TeamPasswordは、強固なセキュリティ機能と最先端の暗号化技術を備えた、手頃な価格のパスワード管理ソリューションです。
安全で簡単なパスワード共有
生のログイン認証情報を共有する代わりに、チームメンバーにTeamPassword経由のアクセスが提供され、社員はTeamPasswordのブラウザ拡張機能であるChrome、Firefox、Safariのいずれかを使ってアカウントにログインすることができます。
また、さまざまなアカウントにグループを作成し、必要な人にだけTeamPasswordでアクセスできるようにし、アクセスが不要になった人は、ワンクリックでグループから外すことができます。
脆弱なパスワードとはおさらば
TeamPasswordのパスワード生成機を使えば、弱いパスワードや複数のアカウントでの同じ認証情報の使い回しの心配はありません。
TeamPasswordで 小文字、大文字、記号、数字を含む12~32文字の強固なパスワードを瞬時に作成でき、保存したパスワードをTeamPasswordが参照して、確実に同じ認証情報が使い回されることがないようにしてくれます。
また、パスワード変更が必要な場合は、新しいパスワードを生成して、全ユーザーに対してその新しい認証情報を更新することができるので、ユーザーはその間に業務を中断したり、ログインできない理由を尋ねたりすることなく、業務を継続することができます!
2FAでTeamPasswordの侵害事件を防ぐ
TeamPassword のアカウントは 、2FA(二要素認証)で保護されます。攻撃者が従業員のTeamPasswordの認証情報を盗むことに成功しても、2FA がサイバー犯罪者によるアカウントへのアクセスを防いでくれます。
そして2FAは、iOSやAndroidを含むモバイルデバイス全てで利用可能なGoogle Authenticatorを採用しています。
アクティビティのロギング(記録)と通知
TeamPassword のアクティビティログ(記録)を使って、企業のデジタル資産を監視できます。アクティビティログでは、誰がいつログインしたのか、グループに追加された新しいメンバー、パスワードの更新などを確認することができます。
また、メール通知を設定することで、TeamPasswordでのアクションを全て即座に通知することができます。機密データやアカウントの監視に最適です。
今すぐ無料でサインアップ
TeamPasswordでデータ侵害を未然に防ぎ、会社のデジタル資産を保護しましょう!14日間の無料トライアルにサインアップして、早速TeamPasswordで安全なパスワードの共有を始めましょう!
おすすめの記事
パスワードセキュリティの究極ガイド
現代では、大半のサービスがユーザー名/パスワードによる認証に依存しています。そこで本記事では、効果的なサイバー衛生とはどのようなもので、なぜそれが有効なのかを徹底解説します。パスワードのベストプラクティスを実行し、個人情報や資産などデジタル化された情報を安全に管理しましょう。
スタートアップに必要不可欠なサイバーセキュリティの5つの心得
スタートアップを立ち上げる際、サイバーセキュリティは後回しになりがちです。しかし、創業者にとってサイバーセキュリティは見過ごすことのできない重要な要素であることは言うまでもありません。今回は、スタートアップを保護するための5つの基本的なサイバーセキュリティ戦略をご紹介します。
【スタートアップ向け】サイバーセキュリティ戦略の構築方法
スタートアップにとって、スピード感と革新性は極めて重要です。本記事では、スタートアップ特有のダイナミックな環境を想定し、堅牢かつ管理しやすいサイバーセキュリティのフレームワークを構築するために不可欠な要素について解説します。
パスワードの使い回しが招く「クレデンシャルスタッフィング攻撃」の脅威
パスワードは使い回さず、アカウントごとに異なるパスワードを設定することで、「クレデンシャルスタッフィング」と呼ばれる種類のサイバー攻撃の標的になるリスクを下げることができます。そして、パスワードは複雑で推測しにくい強力なものである必要があります。
