Bizコンパス

「Have I Been Pwned?」でパスワード流出を確認する方法
2018.12.07

今知っておきたいITセキュリティスキルワンランクアップ講座第6回

「Have I Been Pwned?」でパスワード流出を確認する方法

著者 北河 拓士

 11月9日に掲載した前回の記事では、パスワードの流出をチェックするサービスとして、Firefox Monitorを紹介しました。

 今回はFirefox Monitorへの流出パスワードのデータベース提供元である「Have I Been Pwned?」(以下HIBP) について解説してみたいと思います。HIBPには、Firefox Monitorにはない機能が複数あります。

 

世界約300サイト、約55億件の流出アカウントから検索できる

 HIBPは、自分のアカウント情報が流出していないかをチェックできるWebサービスで、オーストラリアのセキュリティ専門家Troy Hunt氏により運営されています。同氏は、「Microsoft Regional Director」かつ「Microsoft Most Valuable Professional(MVP) for Developer Security」の認定者で、オンライントレーニング「Pluralsight」のセキュリティに関するコースの講師やセキュリティカンファレンスのスピーカーとしても知られています。

(Troy Hunt氏をMicrosoft社員と紹介している記事を良く見かけます。Troy Hunt氏が「Microsoft Regional Director」の肩書を持つことからの誤解だと思われますが、「Microsoft Regional Director」はMicrosoftに在籍しない外部の人物でMicrosoftの製品・技術の啓蒙に貢献する人物に対し、Microsoftが認定する制度です)

 HIBPが作成されたのは2013年12月です。最初は「Adobe」「Stratfor」「Gawker」「Yahoo!」「Sony」の5つのサイトの計1億5,400万件の流出アカウント情報から始まりましたが、現在(2018年11月12日現在)では、322サイトの約55億件の流出アカウント情報を保持しています。また、サイトへの1日の訪問者は7万~24万人。メールアドレスの登録者は200万人を越えるとされています。(2018年6月現在)

「Have I Been Pwned?」のPwnedとはOwned(所有された)から転じたネットスラングです。ゲーマーの間では「やられた、完敗した」、セキュリティ界隈では「ハッキングされた、流出した」の意味で使われています。

 

HIBPの基本機能

 HIBPの「Home」画面では、自分のメールアドレスを入力して「pwned?」をクリックすることにより、自分のアカウント情報が流出していないかをチェックします。この機能はFirefox Monitorの「Basic Scan」と同等のものですが、Firefox MonitorではメールアドレスのSHA-1ハッシュのみがサーバに送信されているのに対し、HIBPでは入力したメールアドレスそのものがサーバに送信されます。

Notify Me

「Notify me」はFirefox Monitorの「Sign Up」と同等の機能で、自分のメールアドレスを登録することにより、今後新たな流出があった場合に、メールで通知をしてくれるものです。

 Firefox Monitorにない機能としては、「Pwned Passwords」「Domain Search」「Pwned website」「API」があります。

 

Pwned Passwords

「Pwned Passwords」は、入力したパスワードが、過去に流出した約5億件(2018年11月現在)のパスワードのデータベースと一致するかをチェックするサービスです。過去に流出したことのあるパスワードは、辞書攻撃などで解析される可能性が高いため、使用は避けるべきです。

「Pwned Passwords」では前回記事で紹介したFirefox Monitorと同様の「k-Anonymity」という手法により、パスワードのハッシュの先頭5文字のみをサーバに送信することで、パスワードそのものをサーバに送信することなく、パスワードの流出のチェックを可能としています。

「Pwned Password」の仕組みは以下のようなものです。… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事で紹介しているサービスについて

SHARE

関連記事

悪質化するサイバー攻撃に対する新たな対策とは

2018.07.13

セキュリティ対策に求められる新たな視点第1回

悪質化するサイバー攻撃に対する新たな対策とは

IoT普及によりセキュリティ対策はどうすべきか

2018.07.06

2020年に向けたサイバーセキュリティ対策を考える第1回

IoT普及によりセキュリティ対策はどうすべきか

「無料ファイル転送サービス」より良いものがある

2018.06.22

本当は怖い無料サービス

「無料ファイル転送サービス」より良いものがある

働き方改革を加速させる請求書業務の電子化とは

2018.04.20

すべての企業に関わる注目の業務効率化施策を紹介

働き方改革を加速させる請求書業務の電子化とは

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは

社員の安全と「うなぎパイ」ブランドを守る、春華堂のIoTの取り組みとは

2019.09.25

IoTはビジネスの現場をどう変えていくのか第2回

社員の安全と「うなぎパイ」ブランドを守る、春華堂のIoTの取り組みとは

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ

「公衆無線LAN」の危険性と安全に使う方法

2019.08.08

今知っておきたいITセキュリティスキルワンランクアップ講座第14回

「公衆無線LAN」の危険性と安全に使う方法

「繋がりやすくて便利」なサービスは、悪意ある者にも繋がっている

2019.08.07

サプライチェーンのセキュリティは大丈夫か?第1回

「繋がりやすくて便利」なサービスは、悪意ある者にも繋がっている

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは

2019.07.31

DXを加速させるITシステムの運用改革第9回

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは