【KADOKAWA問題で話題】Googleの無料新サービス「ダークウェブレポート」を試したら想像以上の情報流出が判明…操作はカンタン、危険性の見極め方は?
Googleの「ダークウェブ レポート」を利用できない場合は?
もっともGoogleを利用しておらず、どのチェックサービスを利用するにしても何かしらの情報を新規に入力せざるを得ないのであれば、パスワードの漏洩をチェックできる海外のウェブサービス 「Have I Been Pwned」 を利用することで、ほぼ同じ結果が得られます。 「Have I Been Pwned」の使い方は簡単で、トップページにある入力フォームにメールアドレスを入力して、「pwned?」ボタンをクリックするだけです。しばらく待つことで、同サービスが保有する大量の流出データの中から、該当するメールアドレスがあるかどうかをチェックし、流出元となるサービスと、具体的に流出した可能性がある項目が表示されます。 この「Have I Been Pwned」が前述のGoogleのサービスと違うのは、流出した具体的な情報を表示するのではなく、その項目名だけを表示してくれることです。Googleのサービスでは、流出した情報について、全体を伏字にしつつ先頭の何文字かを表示することで、本人が見ればどの情報が流出したか判別できるようになっていましたが、このサービスは「Email addresses, Passwords, Usernames」といった具合に、教えてくれるのはあくまで項目名のみです。
もともとこのサービスは、どの事業者からどれだけの規模でデータ流出が発生したかというインシデント情報をまとめたもので、メールアドレス以外についてはあくまでも「流出した可能性のある項目」しか表示できないというわけです。なによりログインしている本人しか利用できないGoogleと違い、こちらのサービスは第三者のメールアドレスでも検索できてしまうので、そこで具体的な情報が見えてしまっては大問題です。
FBIがデータを提供し、各国政府も利用を明言するサービス
一方、こちらのサービスは、メールアドレスとともにパスワードが流出したか否かにフォーカスしているので、もし今回の例のように流出ありと判定された場合は、対応はより急務となります。またチェック完了後も、新たな流出が見つかった場合にメールで知らせてくれる機能も提供していますので、より便利に使えます。 ちなみにこの「Have I Been Pwned」は民間のサービスですが、かつてMicrosoftに勤務していたエンジニアが立ち上げた老舗のサービスで、FBIなどの組織もデータを提供しているほか、複数の国の政府が利用を明言しているとあって、一定の信頼性がおけます。前述のGoogleのサービスが利用できない場合、まず試してみるべきサービスと言っていいでしょう。
山口 真弘