メールアドレスやパスワードが漏れているか確認できるHave I Been Pwnedの使い方

毎日のように情報漏洩の事件が報道されていますが、自分の個人情報が漏洩しているかどうかを調べる際に、まず開くべきなのがHave I Been Pwnedです。Have I Been Pwnedは、自分のメールアドレスやパスワードが、過去の漏洩事件に含まれているかを確認できるサイトで、おそらくインターネット上で一番情報が集まっている場所です。この記事では、Have I Been Pwnedの概要と安全性、使い方について解説しています。

Have I Been Pwnedの概要

HIBPの概要と、安全性、使用される用語について解説します。

Have I Been Pwnedとは

「Have I Been Pwned（HIBP）」とは、メールアドレスやパスワードがインターネット上に流出しているかを確認できるサービスです。

オーストラリアのセキュリティ専門家であるトロイ・ハント（Troy Hunt）氏によって、2013年から運営されており、基本無料で利用できます。

2024年現在で、約140億件のデータが登録されています。

これが流出データのどの程度をカバーしているかは分かりませんが、HIBPは類似サービスの中でも一番有名なので、一番情報が集まっていると考えられています。他社の類似サービスが、HIBPのデータを参照しているだけということも多いです。

Have I Been Pwnedの運営者

HIBPは、ほぼトロイ氏の個人によって運営されています。

過去には売却するという計画もあり、多数の企業が名乗りを上げていましたが、最終的には撤回されました。

個人プロジェクトで大丈夫かという声もありますが、トロイ氏はMicrosoftのMost Valuable Professionalsにも選出されたセキュリティ専門家であり、過去10年以上に渡り事故も起こしておりません。

Have I Been Pwnedの安全性

流出しているかどうかを確認するためには、メールアドレスやパスワードをサイトの検索欄に入力する必要がありますが、それが逆に流出になるのではと心配になるかもしれません。

HIBPでは、パスワードはSHA-1でハッシュ化し、部分一致による照合を行っているので、流出の心配はないとしています。

記録されるものは、Google Analytics、Application Insights（Azure）のパフォーマンスモニター、例外処理が発生した時の診断データのみとされています。

通知サービスを利用した場合は、メールアドレスも保存されます。

それでも心配な場合は、パスワードリストをダウンロードしてオフラインで照合する方法もありますが、若干の専門知識が必要となります。

用語の意味

HIBPでは、独特な（？）用語が使われているため、先に日本語の意味を解説をします。

Pwned

「Pwned（ポーンド）」は、「流出が確認された」という意味です。

「Owned（オウンド）」のタイポ（誤字）から来たスラングで、対戦ゲームやセキュリティ業界で、「乗っ取られた」「支配された」という意味で、以下のように使われています。

• You got pwned!（お前の負けだ）
• Your account was pwned in a data breach.（あなたのアカウントデータは流出しました）

チェスの「pawn（ポーン）」が元になっているという説もありますが、あまり支持されていません。

むしろ「Have I Been Pwned」のサイトが有名になるに従い、「Pwned」というスラングも広まったと言った方が正しいかもしれません。

Paste

「Paste」は、Pastebinのような情報共有サイトに一般公開されているという意味です。

誰でも見ることができる状態となっているので、すぐに対応が必要となります。

一時的に公開されていて、すでに削除されたものも含まれています。

Breach

「Breach」は、データ流出の元となった出来事のことです。

セキュリティ業界でいう「インシデント」です。

Sensitive Breach

「Sensitive Breach」は、「機密情報漏洩」という意味です。

影響度が大きいために、公開される内容が制限されています。

詳細を確認するには、メールアドレスの本人確認が必要となります。

Malware Breach

「Malware Breach」は、「マルウェアによる情報漏洩」という意味です。

特定の企業サイトからの情報漏洩とは異なり、マルウェアの場合は幅広いデータが収集されることが多いです。

必要な対応も異なってきます。

Retired Breach

「Retired Breach」は、「撤回された情報漏洩」という意味です。

一度は流出が確認されたものの、そのデータが完全に削除され、再配布されていないことを意味します。

非常に稀なケースです。

Unverified Breach

「Unverified Breach」は、「未検証の情報漏洩」という意味です。

情報漏洩が確認されたものの、流出元や流出経緯が不明確なものです。

間違っている可能性はあるものの、ユーザーには注意喚起をする必要があるため、公開されています。

Fabricated Breach

「Fabricated Breach」は、「捏造された情報漏洩」という意味です。

流出データを装い、架空のメールアドレス・パスワード等を生成し、業者間で販売されたものと思われます。

Subscription Free Breach

「Subscription Free Breach」は、ドメイン検索をした際に、サブスクリプションが不要で無料で利用できるものです。

通常のドメイン検索では、規模の大きさに応じてサブスクリプション契約が必要となります。

「Subscription Free Breach」のフラグが付けられたものは、大きさに関わらず、無料で検索できます。

通常のメールアドレスによる検索には関係がありません。

Spam List

「Spam List」は、スパムの送信に使用されていることが確認されたデータです。

特定の「情報漏洩インシデント（Breach）」との関係は不明で、業者間で販売されたデータの可能性が高いです。

Have I Been Pwnedの使い方

HIBPの基本的な使い方として、メールアドレス検索、パスワード検索、ドメイン検索、通知設定、オプトアウトについて解説します。

メールアドレスの流出を調べる

ブラウザで「https://haveibeenpwned.com/」を開きます。

調べたいメールアドレスを入力し、「pwned?」をクリックします。

メールアドレスは自分のものである必要はありません。

「Good news - no pwnage found!」と表示された場合は、HIBP上では流出が確認できなかったということです。

「Oh no - pwned!」と表示された場合は、過去のデータ漏洩に含まれていたことを意味します。

この例では、66の情報漏洩事故（Breach）と、9の情報共有サイト（Paste）に含まれていたことになっています。

下にスクロールすると、どのBreachに含まれているかが分かります。

上記でご紹介した「Unverifiled」のようなタグ付けも確認できます。

さらに下にスクロールすると、Pasteへの具体的なリンクが掲載されています。

パスワードの流出を調べる

パスワードの流出を調べるには、上で「Passwords」を選択してから検索します。

ちなみにパスワード「12345678」は、約700万回使用されているとのことです。

流出したパスワードは、ブルートフォースアタック（総当たり攻撃）に使用されるので、偶然重複していたとしても変更すべきです。

ドメイン単位で調べる

ネットワーク管理者であれば、ドメイン単位で調べることも可能です。

ただし大量に調べるには、有料のサブスクリプション契約が必要となります。

「Domain search」を選択し、自分のメールアドレスを入力した後、「verify email address」をクリックします。

確認メールが届くので、「Verify my email」をクリックします。

初回は、「add domain」をクリックします。

「ドメイン」を入力し、「begin domain verification」をクリックします。

ドメイン所有者であることを確認するため、以下の4つの方法から選びます。

• メール
• メタタグ
• ファイルアップロード
• DNSレコード

今回は、DNSレコードを選択しました。

検証に成功したら、「return to domain search dashboard」をクリックします。

ドメインが登録されているので、「search」で調べることができます。

通知登録をする

メールアドレスを登録しておけば、流出が確認できた時点で通知を受け取ることができます。

「Notify me」をクリックします。

自分のメールアドレスを入力し、「notify me of pwnage」をクリックします。

確認メールが届くので、「Verify my email」をクリックします。

登録完了と同時に、現時点で漏洩しているかどうかもチェックしてくれます。

オプトアウトする

HIBPは、自分のメールアドレスでなくても検索ができるため、場合によっては漏洩していた事実を隠したいということもあるかもしれません。

その場合は、右上の「About」から「Opt-out」をクリックします。

自分のメールアドレスを入力し、「opt-out」をクリックします。

確認メールが届くので、「Out-out Now」をクリックします。

次の3つから、オプトアウトの仕方を選択します。

Just remove my email address from public searchability

公開の検索結果には表示されませんが、自分で登録した通知サービスや、ドメイン管理者は、引き続き確認することができます。

Remove my email address from public searchability and remove the list of breaches it appears in

メールアドレスは、検索結果からも通知サービスからも削除され、さらに今後漏洩が確認されたとしても追加されることはありません。

（今後追加しないという処理のために、メールアドレスは保持されることになります）

Remove my email address completely

メールアドレスは完全に削除されますが、今後漏洩が確認された場合は、新たに登録され、検索にも公開されます。

漏れてた場合の対処方法

データが漏洩している（Pwned）ことが確認された場合は、速やかに以下の対応をとりましょう。

パスワードを変更する

該当するアカウントのパスワードを変更します。

パスワードを使いまわしている場合は、すべて変更が必要です。

強力で複雑なパスワードを使用しましょう。桁数が長いことが重要です。

多要素認証を設定する

利用できる場合は、二要素/多要素認証を有効にします。

SMS、認証アプリ、ハードウェアトークンなどを組み合わせましょう。

アクセス履歴を確認する

該当サービスのアクセス履歴やセキュリティ設定で、不明な場所や不明なデバイスからのログインがないかを確認しましょう。

怪しい動きがあった場合は、サービス運営者に連絡することも必要です。

金融機関へ連絡する

流出した情報にクレジットカード等の情報が含まれている場合は、すぐに金融機関に連絡し、カードの停止や再発行を依頼します。

また、不正利用がないか、明細をよく確認しましょう。

データをバックアップする

ランサムウェアなどに備え、重要なデータは外部ディスクにバックアップを取りましょう。

オンラインとオフラインの両方があると安心です。

パスワード管理ツールを導入する

まだ利用していなければ、パスワード管理ツールを導入し、同じパスワードを使い回すことがないようにしましょう。

Have I Been Pwnedの使い方とは