Bizコンパス

パスワードの流出をチェックする「Firefox Monitor」とは?
2018.11.09

今知っておきたいITセキュリティスキルワンランクアップ講座第5回

パスワードの流出をチェックする「Firefox Monitor」とは?

著者 北河 拓士

 Webサイトなどからアカウント情報などが流出する事案が相次いでいます。サービス提供者がすぐに流出に気付いて利用者への通知やパスワードのリセットなどの処置を行うケースもありますが、サービス提供者も流出に気付いておらず、アカウント情報がダークウェブなどで販売・公開されて初めて流出の事実が明るみになることもあります。

 ダークウェブなどでアカウント情報が公開されたとしても、サービス提供者がその事実を速やかに公表するとは限りません。たとえば、2018年2月に海外メディアが約3,000のドメインの2億件のアカウント情報が公開されていると報じた事案では、約80のJPドメインのサイトが含まれていましたが、その後、流出の事実を公表したのは現在まで10サイト未満しかありません。また、海外メディアが最初に報じてから公表まで数ヶ月のタイムラグがあったところが大半でした。

 このように、サービス提供者の発表だけを頼りにしていると、既に流出した状態のパスワードを使い続けることになります。とはいえ、自分で海外のニュースやアンダーグラウンドの情報までくまなく調査するのは容易なことではありません。

 そこで、自分のアカウント情報が流出していないかを確認できるWebサービスとして、ブラウザFirefoxなどを提供するMozillaが2018年9月に一般公開したのが「Firefox Monitor」です。Firefoxという名称が付いていますが、Firefox以外のブラウザからも使用できます。

 アカウント情報の漏えいを確認できるサイトとして有名なものにセキュリティ専門家のTroy Hunt氏が運営している「Have I Been Pwned」(以下HIBP)  がありますが、Firefox MonitorはHIBPと提携し、HIBPの流出データベースを検索してアカウント情報が流出していないかをチェックします。

 Firefox MonitorとHIBPは同じデータベースを検索するため、どちらで検索しても結果は同じものになります。それではFirefox Monitorを使うメリットは何でしょうか?

 1つは、HIBPはTroy Hunt氏というセキュリティ業界では良く知られた信頼できる人物が運営するサイトであるとはいえ、あくまで個人運営のサイトであるに対し、Firefox MonitorはFirefoxなどの開発・提供を行う団体であるMozillaが運営しているため、セキュリティ業界に詳しくない一般の利用者でも安心感を持って利用できることです。

 もう1つは、HIBPではアカウント情報の検索時にメールアドレスがそのままサーバに送信されるのに対し、Firefox Monitorの「Basic Scan」では「k-Anonymity」という手法を用いることにより、メールアドレスがサーバにそのまま送信されることがないことです。これについて具体的に説明してみましょう。

 

Firefox Monitorの「Basic Scan」機能

 Firefox Monitorの「Basic Scan」では、「Enter Email Address」の欄に自分のメールアドレスを入力して「Scan」ボタンをクリックすることにより、入力したメールアドレスに関連する流出を検索し表示してくれます。「Scan」の下には「Your email will not be stored.」(メールアドレスは保存されない)と記載されています。

 試しに「test@example.com」 と入力し「Scan」をクリックしてみます… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事で紹介しているサービスについて

SHARE

関連記事

悪質化するサイバー攻撃に対する新たな対策とは

2018.07.13

セキュリティ対策に求められる新たな視点第1回

悪質化するサイバー攻撃に対する新たな対策とは

IoT普及によりセキュリティ対策はどうすべきか

2018.07.06

2020年に向けたサイバーセキュリティ対策を考える第1回

IoT普及によりセキュリティ対策はどうすべきか

高木浩光氏が解説「パスワード定期変更は都市伝説」

2018.08.27

情報セキュリティの「常識」を検証する前編

高木浩光氏が解説「パスワード定期変更は都市伝説」

「暗号化ファイルのパスワード別送」は無意味である

2018.02.16

このセキュリティ対策、本当に効果あるの?

「暗号化ファイルのパスワード別送」は無意味である

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは

社員の安全と「うなぎパイ」ブランドを守る、春華堂のIoTの取り組みとは

2019.09.25

IoTはビジネスの現場をどう変えていくのか第2回

社員の安全と「うなぎパイ」ブランドを守る、春華堂のIoTの取り組みとは

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ

「公衆無線LAN」の危険性と安全に使う方法

2019.08.08

今知っておきたいITセキュリティスキルワンランクアップ講座第14回

「公衆無線LAN」の危険性と安全に使う方法

「繋がりやすくて便利」なサービスは、悪意ある者にも繋がっている

2019.08.07

サプライチェーンのセキュリティは大丈夫か?第1回

「繋がりやすくて便利」なサービスは、悪意ある者にも繋がっている

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは

2019.07.31

DXを加速させるITシステムの運用改革第9回

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは