11月9日に掲載した前回の記事では、パスワードの流出をチェックするサービスとして、Firefox Monitorを紹介しました。

 今回はFirefox Monitorへの流出パスワードのデータベース提供元である「Have I Been Pwned?」(以下HIBP) について解説してみたいと思います。HIBPには、Firefox Monitorにはない機能が複数あります。

 

世界約300サイト、約55億件の流出アカウントから検索できる

 HIBPは、自分のアカウント情報が流出していないかをチェックできるWebサービスで、オーストラリアのセキュリティ専門家Troy Hunt氏により運営されています。同氏は、「Microsoft Regional Director」かつ「Microsoft Most Valuable Professional(MVP) for Developer Security」の認定者で、オンライントレーニング「Pluralsight」のセキュリティに関するコースの講師やセキュリティカンファレンスのスピーカーとしても知られています。

(Troy Hunt氏をMicrosoft社員と紹介している記事を良く見かけます。Troy Hunt氏が「Microsoft Regional Director」の肩書を持つことからの誤解だと思われますが、「Microsoft Regional Director」はMicrosoftに在籍しない外部の人物でMicrosoftの製品・技術の啓蒙に貢献する人物に対し、Microsoftが認定する制度です)

 HIBPが作成されたのは2013年12月です。最初は「Adobe」「Stratfor」「Gawker」「Yahoo!」「Sony」の5つのサイトの計1億5,400万件の流出アカウント情報から始まりましたが、現在(2018年11月12日現在)では、322サイトの約55億件の流出アカウント情報を保持しています。また、サイトへの1日の訪問者は7万~24万人。メールアドレスの登録者は200万人を越えるとされています。(2018年6月現在)

「Have I Been Pwned?」のPwnedとはOwned(所有された)から転じたネットスラングです。ゲーマーの間では「やられた、完敗した」、セキュリティ界隈では「ハッキングされた、流出した」の意味で使われています。

 

HIBPの基本機能

 HIBPの「Home」画面では、自分のメールアドレスを入力して「pwned?」をクリックすることにより、自分のアカウント情報が流出していないかをチェックします。この機能はFirefox Monitorの「Basic Scan」と同等のものですが、Firefox MonitorではメールアドレスのSHA-1ハッシュのみがサーバに送信されているのに対し、HIBPでは入力したメールアドレスそのものがサーバに送信されます。

Notify Me

「Notify me」はFirefox Monitorの「Sign Up」と同等の機能で、自分のメールアドレスを登録することにより、今後新たな流出があった場合に、メールで通知をしてくれるものです。

 Firefox Monitorにない機能としては、「Pwned Passwords」「Domain Search」「Pwned website」「API」があります。

 

Pwned Passwords

「Pwned Passwords」は、入力したパスワードが、過去に流出した約5億件(2018年11月現在)のパスワードのデータベースと一致するかをチェックするサービスです。過去に流出したことのあるパスワードは、辞書攻撃などで解析される可能性が高いため、使用は避けるべきです。

「Pwned Passwords」では前回記事で紹介したFirefox Monitorと同様の「k-Anonymity」という手法により、パスワードのハッシュの先頭5文字のみをサーバに送信することで、パスワードそのものをサーバに送信することなく、パスワードの流出のチェックを可能としています。

「Pwned Password」の仕組みは以下のようなものです。… 続きを読む

全文(続き)を読む

続きを読むにはログインが必要です。

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

北河 拓士

北河 拓士

NTTコミュニケーションズ株式会社
経営企画部 マネージドセキュリティサービス推進室

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

関連キーワード

連載記事