Yahoo!ニュース

ダークウェブ上のID流出を確認する方法

大元隆志CISOアドバイザー
画像はNetskopeのCompromised Credentialsの画面

自分が利用しているインターネットサービスに対してランサムウェア攻撃が仕掛けられ大量の個人情報が公開される事態となれば「自分の情報が漏洩していないか?」を確認したいと考える人も少なくないでしょう。

今回は、個人編と、企業編の2つの観点でダークウェブ上に流出したと推測されるIDの確認方法を紹介します。

■ダークウェブ上のID流出を確認する方法:個人編

個人での確認の場合、Have I Been Pwnedを利用することで、手軽に漏洩の有無を確認することが可能です。

1) ブラウザからhaveibeenpwned.comへアクセスします

2) 漏洩有無を調べたいメールアドレスを入力し「pwned」をクリックします

3) 結果を確認します

 以下に、流出していた場合と、流出が確認出来なかった場合の結果を示します。

  流出していた場合 : Oh no - pwned

漏洩している場合には、Oh no - pwnedと表示されます。
漏洩している場合には、Oh no - pwnedと表示されます。

  流出が確認出来なかった場合 : Good news - no pwnage found!

漏洩していなかった場合には、Good newsと表示されます。
漏洩していなかった場合には、Good newsと表示されます。

Have I Been Pwnedがどういったサイトからの情報漏えいを含んでいるのかは、こちらのリンクから確認可能です。

■ダークウェブ上のID流出を確認する方法:企業編

自分のIDの流出有無だけを確認出来れば良い個人と異なり、企業の場合には自社のIDがどけだけ流出しているのかを把握する必要があります。また、流出していることを本人に通知し、パスワードの変更を依頼するといった運用も必要になるでしょう。

このような企業ニーズに応えるためにダークウェブ上のID流出を調査するツールが存在します。今回はSSEソリューションのNetskopeでの流出ID確認方法を紹介します。

Netskopeにて自社のIDを管理していれば企業全体のIDを対象としたダークウェブ上への流出を確認することが可能です。以下にNetskopeを利用している場合の確認手順を記載します。

1) Netskopeの管理テナントにアクセスする

2) Incidents -> Compromised Credentialsをクリックします

3) 流出したと推測されるIDが表示されます

4) Source of infoをクリックすると、どのサイトから漏洩した情報かを確認することが可能です

5) ユーザーに通知したい場合には、Send an Email notificationをクリックすることでユーザーに通知メールが送信されます。

NetskopeのCompromised Credentialsの確認画面
NetskopeのCompromised Credentialsの確認画面

毎月一度自社IDの漏洩状況を点検し、もし増加傾向にある等の傾向が見られた場合には、全社向けセキュリティ研修を実施するなどを併用することを推奨します。

■重要性が増すダークウェブ上のID流出確認

個人、企業どちらであっても自身のIDは流出しているという前提に立ち、パスワードを使い回さない、多要素認証が使えるのであれば必ず有効にするという習慣を身に付けることが大切です。

しかし、多要素認証の実施等はサービス提供者側にとっては「コスト」が発生することもあり、全てのウェブサイトやクラウドサービスにて多要素認証を利用出来るわけではありません。

個人利用のクラウドサービスに企業のIDを登録し、パスワードを使いまわしているケースもあるでしょう。

こういった「穴」が攻撃者の侵入経路として悪用されるため、ダークウェブ上のID流出有無の点検は、今後重要性が増していくと考えられます。

しかし、残念ながらここまで監視出来ている企業は少ないのが現実です。攻撃側は環境の変化に柔軟に対応してくるので、防御側も時代の変化に追随する必要があるでしょう。

CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事