Bizコンパス

「Have I Been Pwned?」でパスワード流出を確認する方法
2018.12.07

今知っておきたいITセキュリティスキルワンランクアップ講座第6回

「Have I Been Pwned?」でパスワード流出を確認する方法

著者 北河 拓士

 11月9日に掲載した前回の記事では、パスワードの流出をチェックするサービスとして、Firefox Monitorを紹介しました。

 今回はFirefox Monitorへの流出パスワードのデータベース提供元である「Have I Been Pwned?」(以下HIBP) について解説してみたいと思います。HIBPには、Firefox Monitorにはない機能が複数あります。

 

世界約300サイト、約55億件の流出アカウントから検索できる

 HIBPは、自分のアカウント情報が流出していないかをチェックできるWebサービスで、オーストラリアのセキュリティ専門家Troy Hunt氏により運営されています。同氏は、「Microsoft Regional Director」かつ「Microsoft Most Valuable Professional(MVP) for Developer Security」の認定者で、オンライントレーニング「Pluralsight」のセキュリティに関するコースの講師やセキュリティカンファレンスのスピーカーとしても知られています。

(Troy Hunt氏をMicrosoft社員と紹介している記事を良く見かけます。Troy Hunt氏が「Microsoft Regional Director」の肩書を持つことからの誤解だと思われますが、「Microsoft Regional Director」はMicrosoftに在籍しない外部の人物でMicrosoftの製品・技術の啓蒙に貢献する人物に対し、Microsoftが認定する制度です)

 HIBPが作成されたのは2013年12月です。最初は「Adobe」「Stratfor」「Gawker」「Yahoo!」「Sony」の5つのサイトの計1億5,400万件の流出アカウント情報から始まりましたが、現在(2018年11月12日現在)では、322サイトの約55億件の流出アカウント情報を保持しています。また、サイトへの1日の訪問者は7万~24万人。メールアドレスの登録者は200万人を越えるとされています。(2018年6月現在)

「Have I Been Pwned?」のPwnedとはOwned(所有された)から転じたネットスラングです。ゲーマーの間では「やられた、完敗した」、セキュリティ界隈では「ハッキングされた、流出した」の意味で使われています。

 

HIBPの基本機能

 HIBPの「Home」画面では、自分のメールアドレスを入力して「pwned?」をクリックすることにより、自分のアカウント情報が流出していないかをチェックします。この機能はFirefox Monitorの「Basic Scan」と同等のものですが、Firefox MonitorではメールアドレスのSHA-1ハッシュのみがサーバに送信されているのに対し、HIBPでは入力したメールアドレスそのものがサーバに送信されます。

Notify Me

「Notify me」はFirefox Monitorの「Sign Up」と同等の機能で、自分のメールアドレスを登録することにより、今後新たな流出があった場合に、メールで通知をしてくれるものです。

 Firefox Monitorにない機能としては、「Pwned Passwords」「Domain Search」「Pwned website」「API」があります。

 

Pwned Passwords

「Pwned Passwords」は、入力したパスワードが、過去に流出した約5億件(2018年11月現在)のパスワードのデータベースと一致するかをチェックするサービスです。過去に流出したことのあるパスワードは、辞書攻撃などで解析される可能性が高いため、使用は避けるべきです。

「Pwned Passwords」では前回記事で紹介したFirefox Monitorと同様の「k-Anonymity」という手法により、パスワードのハッシュの先頭5文字のみをサーバに送信することで、パスワードそのものをサーバに送信することなく、パスワードの流出のチェックを可能としています。

「Pwned Password」の仕組みは以下のようなものです。… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事で紹介しているサービスについて

SHARE

関連記事

悪質化するサイバー攻撃に対する新たな対策とは

2018.07.13

セキュリティ対策に求められる新たな視点第1回

悪質化するサイバー攻撃に対する新たな対策とは

IoT普及によりセキュリティ対策はどうすべきか

2018.07.06

2020年に向けたサイバーセキュリティ対策を考える第1回

IoT普及によりセキュリティ対策はどうすべきか

「無料ファイル転送サービス」より良いものがある

2018.06.22

本当は怖い無料サービス

「無料ファイル転送サービス」より良いものがある

働き方改革を加速させる請求書業務の電子化とは

2018.04.20

すべての企業に関わる注目の業務効率化施策を紹介

働き方改革を加速させる請求書業務の電子化とは

「スマホ窃盗」から身を守るための対策とは

2020.04.13

セキュリティの“盲点”第2回

「スマホ窃盗」から身を守るための対策とは

中部電力とNTT Comはどうやって点検データを「見える化」したのか

2020.04.10

デジタルトランスフォーメーションの実現へ向けて第38回

中部電力とNTT Comはどうやって点検データを「見える化」したのか

AWS導入を成功させるには、3つのフェーズの攻略がカギ

2020.04.03

DXを加速させるITシステムの運用改革第20回

AWS導入を成功させるには、3つのフェーズの攻略がカギ

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

2020.03.19

セキュリティ対策に求められる新たな視点第15回

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策