NTTコミュニケーションズ

Bizコンパス

【重要】「Bizコンパス」サイトリニューアルのお知らせ
パスワードの流出をチェックする「Firefox Monitor」とは?
2018.11.09

今知っておきたいITセキュリティスキルワンランクアップ講座第5回

パスワードの流出をチェックする「Firefox Monitor」とは?

著者 北河 拓士

 Webサイトなどからアカウント情報などが流出する事案が相次いでいます。サービス提供者がすぐに流出に気付いて利用者への通知やパスワードのリセットなどの処置を行うケースもありますが、サービス提供者も流出に気付いておらず、アカウント情報がダークウェブなどで販売・公開されて初めて流出の事実が明るみになることもあります。

 ダークウェブなどでアカウント情報が公開されたとしても、サービス提供者がその事実を速やかに公表するとは限りません。たとえば、2018年2月に海外メディアが約3,000のドメインの2億件のアカウント情報が公開されていると報じた事案では、約80のJPドメインのサイトが含まれていましたが、その後、流出の事実を公表したのは現在まで10サイト未満しかありません。また、海外メディアが最初に報じてから公表まで数ヶ月のタイムラグがあったところが大半でした。

 このように、サービス提供者の発表だけを頼りにしていると、既に流出した状態のパスワードを使い続けることになります。とはいえ、自分で海外のニュースやアンダーグラウンドの情報までくまなく調査するのは容易なことではありません。

 そこで、自分のアカウント情報が流出していないかを確認できるWebサービスとして、ブラウザFirefoxなどを提供するMozillaが2018年9月に一般公開したのが「Firefox Monitor」です。Firefoxという名称が付いていますが、Firefox以外のブラウザからも使用できます。

 アカウント情報の漏えいを確認できるサイトとして有名なものにセキュリティ専門家のTroy Hunt氏が運営している「Have I Been Pwned」(以下HIBP)  がありますが、Firefox MonitorはHIBPと提携し、HIBPの流出データベースを検索してアカウント情報が流出していないかをチェックします。

 Firefox MonitorとHIBPは同じデータベースを検索するため、どちらで検索しても結果は同じものになります。それではFirefox Monitorを使うメリットは何でしょうか?

 1つは、HIBPはTroy Hunt氏というセキュリティ業界では良く知られた信頼できる人物が運営するサイトであるとはいえ、あくまで個人運営のサイトであるに対し、Firefox MonitorはFirefoxなどの開発・提供を行う団体であるMozillaが運営しているため、セキュリティ業界に詳しくない一般の利用者でも安心感を持って利用できることです。

 もう1つは、HIBPではアカウント情報の検索時にメールアドレスがそのままサーバに送信されるのに対し、Firefox Monitorの「Basic Scan」では「k-Anonymity」という手法を用いることにより、メールアドレスがサーバにそのまま送信されることがないことです。これについて具体的に説明してみましょう。

 

Firefox Monitorの「Basic Scan」機能

 Firefox Monitorの「Basic Scan」では、「Enter Email Address」の欄に自分のメールアドレスを入力して「Scan」ボタンをクリックすることにより、入力したメールアドレスに関連する流出を検索し表示してくれます。「Scan」の下には「Your email will not be stored.」(メールアドレスは保存されない)と記載されています。

 試しに「test@example.com」 と入力し「Scan」をクリックしてみます… 続きを読む

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事が気に入ったらクリック!

お気に入り登録

この記事で紹介しているサービスについて

SHARE

関連記事

悪質化するサイバー攻撃に対する新たな対策とは

2018.07.13

セキュリティ対策に求められる新たな視点第1回

悪質化するサイバー攻撃に対する新たな対策とは

IoT普及によりセキュリティ対策はどうすべきか

2018.07.06

2020年に向けたサイバーセキュリティ対策を考える第1回

IoT普及によりセキュリティ対策はどうすべきか

高木浩光氏が解説「パスワード定期変更は都市伝説」

2018.08.27

情報セキュリティの「常識」を検証する前編

高木浩光氏が解説「パスワード定期変更は都市伝説」

「暗号化ファイルのパスワード別送」は無意味である

2018.02.16

このセキュリティ対策、本当に効果あるの?

「暗号化ファイルのパスワード別送」は無意味である

読者アンケートからわかった企業のセキュリティの課題とその対策とは

2021.06.30

セキュリティ対策に求められる新たな視点第25回

読者アンケートからわかった企業のセキュリティの課題とその対策とは

ゼロトラストを目指し境界防御から無害化に、ネオファースト生命はどう移行したか?

2021.06.16

セキュリティ対策に求められる新たな視点第24回

ゼロトラストを目指し境界防御から無害化に、ネオファースト生命はどう移行したか?

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

2021.03.05

セキュリティ対策に求められる新たな視点第23回

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

暗号化ZIPをメールで添付する方式の何が問題か?

2021.02.02

今知っておきたいITセキュリティスキルワンランクアップ講座第25回

暗号化ZIPをメールで添付する方式の何が問題か?

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法