Webサイトなどからアカウント情報などが流出する事案が相次いでいます。サービス提供者がすぐに流出に気付いて利用者への通知やパスワードのリセットなどの処置を行うケースもありますが、サービス提供者も流出に気付いておらず、アカウント情報がダークウェブなどで販売・公開されて初めて流出の事実が明るみになることもあります。

 ダークウェブなどでアカウント情報が公開されたとしても、サービス提供者がその事実を速やかに公表するとは限りません。たとえば、2018年2月に海外メディアが約3,000のドメインの2億件のアカウント情報が公開されていると報じた事案では、約80のJPドメインのサイトが含まれていましたが、その後、流出の事実を公表したのは現在まで10サイト未満しかありません。また、海外メディアが最初に報じてから公表まで数ヶ月のタイムラグがあったところが大半でした。

 このように、サービス提供者の発表だけを頼りにしていると、既に流出した状態のパスワードを使い続けることになります。とはいえ、自分で海外のニュースやアンダーグラウンドの情報までくまなく調査するのは容易なことではありません。

 そこで、自分のアカウント情報が流出していないかを確認できるWebサービスとして、ブラウザFirefoxなどを提供するMozillaが2018年9月に一般公開したのが「Firefox Monitor」です。Firefoxという名称が付いていますが、Firefox以外のブラウザからも使用できます。

 アカウント情報の漏えいを確認できるサイトとして有名なものにセキュリティ専門家のTroy Hunt氏が運営している「Have I Been Pwned」(以下HIBP)  がありますが、Firefox MonitorはHIBPと提携し、HIBPの流出データベースを検索してアカウント情報が流出していないかをチェックします。

 Firefox MonitorとHIBPは同じデータベースを検索するため、どちらで検索しても結果は同じものになります。それではFirefox Monitorを使うメリットは何でしょうか?

 1つは、HIBPはTroy Hunt氏というセキュリティ業界では良く知られた信頼できる人物が運営するサイトであるとはいえ、あくまで個人運営のサイトであるに対し、Firefox MonitorはFirefoxなどの開発・提供を行う団体であるMozillaが運営しているため、セキュリティ業界に詳しくない一般の利用者でも安心感を持って利用できることです。

 もう1つは、HIBPではアカウント情報の検索時にメールアドレスがそのままサーバに送信されるのに対し、Firefox Monitorの「Basic Scan」では「k-Anonymity」という手法を用いることにより、メールアドレスがサーバにそのまま送信されることがないことです。これについて具体的に説明してみましょう。

 

Firefox Monitorの「Basic Scan」機能

 Firefox Monitorの「Basic Scan」では、「Enter Email Address」の欄に自分のメールアドレスを入力して「Scan」ボタンをクリックすることにより、入力したメールアドレスに関連する流出を検索し表示してくれます。「Scan」の下には「Your email will not be stored.」(メールアドレスは保存されない)と記載されています。

 試しに「test@example.com」 と入力し「Scan」をクリックしてみます… 続きを読む

全文(続き)を読む

続きを読むにはログインが必要です。

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

北河 拓士

北河 拓士

NTTコミュニケーションズ株式会社
経営企画部 マネージドセキュリティサービス推進室

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

関連キーワード

連載記事