自分のアカウントが危険にさらされていないか、確認しよう

 この「Collectionシリーズ」などで取り扱われているアカウントデータは、現在さまざまなツールに活用されている。たとえば有名なところでは、「Have I Been Pwned: Check if your email has been compromised in a data breach」(以下、Have I Been Pwned)というサービスがある。

 Have I Been Pwnedは、自分のデータが漏洩していないかどうかをチェックできるサイト。このデータベースには、2022年1月現在で約117億件の漏洩(ろうえい)アカウント情報が蓄積されている。Have I Been Pwned にメールアドレスを入力すると、流出データにそのメールアドレスの情報が含まれているかを表示してくれるほか、漏洩データにメールアドレス、もしくはメールアドレス・パスワードのペアがあった場合「もしかすると、パスワード漏洩したかもしれないインシデント」として表示してくれる。

 ただし、結果欄をよく読むと(英語)、漏洩したのは“email addresses, names and salted password hashes.”(メールアドレスと氏名、パスワードの特徴)というように、実際には、パスワードが実質的にはそのままでは使えない状態で漏れていても、「漏れている」と表示される点は注意したい。

Have I Been Pwnedに、筆者のメールアドレスを入力してみた結果。「LifeBear」は、縮約後のパスワードデータが流出した事件が2019年に起きており筆者の場合、引っかかった。「Peatix」も同様に縮約後のパスワードデータが流出したが、強制的に全ユーザーパスワード切り替えを行っている。 Photo:Satoshi YamatoHave I Been Pwnedに筆者のメールアドレスを入力してみた結果。クマのイラストの「LifeBear」は、パスワードの特徴データが流出した事件が2019年に起きており、引っかかった。「Peatix」も同様にパスワードの特徴データが流出したが、その後、強制的に全ユーザーパスワード切り替えを行っている。 Photo:Satoshi Yamato

 結果を見て、自分のメールアドレスが何かのインシデントに巻き込まれたことがあったら、そのサービスと同じパスワードを使い回すことは絶対に避けるべきだ。もちろん、特徴しか漏れていないパスワードからパスワードを類推するのは容易ではないが、ヒントがない、というわけではない。もし、変えていない人は、今からでもパスワードを変えておくべきだろう。