Have I Been Pwned? (HIBP、ロゴの表記は「';--have i been pwned?」)(→私はPwn[注 1]されている?)とは、セキュリティ専門家のトロイ・ハント英語版が2013年12月4日に開設した、インターネット利用者が自らの個人情報漏洩していないかを照会できるウェブサイト。漏洩した数十億件のアカウント情報を含む、数百のデータベースダンプ英語版Pastebinを収集、分析して得られた情報から、電子メールアドレス、または、電話番号で検索することができる。また、メールアドレスの登録を行うことにより、今後ダンプされたデータにそのアドレスが含まれた場合、通知を受け取ることも可能となる。HIBPは、インターネット利用者のセキュリティやプライバシーの保護のための貴重なリソースとして広く知られている[4][5]

Have I Been Pwned?
URL haveibeenpwned.com
言語 英語
タイプ Internet security
設立者 トロイ・ハント英語版
営利性 有り
登録 任意
ユーザー数 通知サービス登録数300万件超(2019年現在)[1]
開始 2013年12月4日 (10年前) (2013-12-04)
現在の状態 稼働中

2019年6月現在、HIBPは80億件の漏洩情報を有し、ユニークユーザー数は1日平均で15万人、通知サービスへのメールアドレス登録数は300万件にのぼる[1]

特徴

編集

HIBPは開設以来、主な機能として、一般の人が自らの個人情報の漏洩や侵害が発生したことを確認することができるページを公開している。電子メールアドレスを入力することにより、そのアドレスに関連付けられたレコードを含む、全ての漏洩データのリストを確認することができる。また同時に、その漏洩の発生した背景や、漏洩に含まれる具体的なデータ項目などの詳細情報も提供される。また、"Notify me"サービスを提供しており、今後の漏洩に関連する通知を受け取ることができる。このメール通知サービスに登録を行うだけで、自らの個人情報が含まれる新たな情報漏洩が発覚した際には、即座にその情報を得ることが可能となる。

2014年9月、ハントは、pastebinに掲載された漏洩情報についてTwitterでつぶやくボット"Dump Monitor"を利用し、リアルタイムで、新たな漏洩の可能性のあるデータをHIBPへ反映する機能を追加した。データ漏洩は広く報道される前に、pastebinに示されることも多く、これを監視することにより、情報が漏洩していることについて、いち早く知ることができる[6]

2018年3月、HIBPはパスワードマネージャー1Password英語版と提携したことを発表、漏洩データであると判明した場合の表示が、従来のパスワードの変更を促すものから、1Passwordの利用を推奨するものへと変更された。このことについて、ハントは自らのウェブサイトで理由を説明し、経済的利益を得るためではないことを主張している[7]

MozillaはHIBPと提携し、HIBPのデータベースとAPIを利用して日本語でもパスワード漏洩や個人情報流出をチェックすることができるFirefox Monitorを提供している[8]

Pwned Passwords

編集

2017年8月、ハントは一括ダウンロードが可能なパスワードのデータ3億600万件を公開し、そのデータベース内をウェブ上で検索可能なサービス"Pwned Passwords"をHIBPに追加した[9]

2018年2月、イギリスのコンピュータ科学者Junade Ali英語版により、パスワード文字列で生成したハッシュ値の一部だけを送信するだけで照合可能な、k-匿名性暗号学的ハッシュ関数を用いた通信プロトコルが作成された。ハントはこのプロトコルを取り入れたPwned Passwordsの新たなバージョンを公開した[10][11]。2021年5月28日には検索対象のデータにFBIが捜査の過程で入手した流出パスワードデータを追加したことが発表された[12][13]

歴史

編集

公開

編集
 
トロイ・ハント

情報漏洩における傾向とパターンの分析を行っていた、ウェブセキュリティの専門家トロイ・ハントは、漏洩が発生した時に、自らの情報が漏洩したことに気づいていない人にも大きな影響が及ぶ可能性があることに気づき、HIBPの開発に着手した。ハントは、2013年の10月に発生した1億5,300万件のアカウントに影響したアドビシステムズのセキュリティ侵害を引き合いに出し「おそらく、最も触発されたのはアドビだった」と語っている[14]

ハントは、2013年12月4日にHIBPを公開し、自らのブログでアナウンスした。公開当初にHIBPのデータベースにインデックスされていたのは、アドビ、ストラトフォーゴーカー英語版Yahoo! Voices英語版ソニー・ピクチャーズのわずか5件の漏洩事例によるデータのみであった[15]。ハントは当時、HIBPについて以下のように語っていた。

土台となるプラットフォームを作ったからには、将来の漏洩を素早く統合し、影響を受けた可能性のある人が直ぐに検索できるようにします。情報漏洩を悪意を持って利用する攻撃者などは、非常に迅速にそのデータを入手し分析できますが、一般消費者がTorrentからギガバイト単位のgzip圧縮データを落として、自らが危険にさらされているかどうかを調べることは非現実的であり、今はちょっと不公平なゲームです。
Troy Hunt、troyhunt.com[16]

情報の追加

編集

サイト公開以降、HIBPの開発の主眼は、新たな情報漏洩が一般に公表された後、可能な限り迅速にデータを更新することである。

2015年7月、オンラインで既婚者向けの出会い系サービスを展開するアシュレイ・マディソンで情報漏洩が発生し、3,000万人以上の利用者の身元が一般に流出した。この情報漏洩は、おそらくは、規模の大きさや、不倫という恥ずかしい情報であったことが影響し、メディアで大きく報道され、その注目度により、HIBPのトラフィックは570倍に増大した[17]。この事態を受けHIBPは「センシティブ」な情報が含まれる場合には、通常の検索は行えず、メール通知システムの登録者にのみ開示されるように改修が行われた。この機能はアシュレイ・マディソンだけではなく、Adult FriendFinder英語版のようにスキャンダルとなる情報が含まれる可能性のあるサイトからの情報でも利用された[5]

2015年10月、ハントは匿名の情報源から、無料のホスティングサービスを運営する000webhostより漏洩したとされる1,350万件のメールアドレスと平文パスワードのダンプの提供を受けた。フォーブスのトーマス・ブリュースターと共同で、そのダンプ内のメールアドレスの試験を行い、複数の000webhost利用者に機密情報を確認するなどの調査を進め、000webhostから漏洩したダンプである可能性が最も高いことを検証した。ハントとブリュースターは、漏洩の真偽を確かめるため、何度も000webhostにコンタクトを試みたものの、回答は得られなかった。2015年10月29日、全てのパスワードのリセットが行われ、ブリュースターによる漏洩に関する記事が公開された後、000webhostはフェイスブックを通じて、情報漏洩について公表した[18][19]

2015年11月初頭、ギャンブルの決済ブロバイダであるNetellerとSkrillによる情報漏洩について、親会社であるPaysafe英語版グループが事実であることを認めた。Joomla!の脆弱性が悪用されNetellerから漏洩した360万件、2010年当時、MoneybookersであったSkrillがVirtual Private Networkの侵害により漏洩した420万件、合計780万件のレコードがHIBPのデータベースに登録された[20]

2015年11月下旬、電子知育玩具で知られるVTech英語版がハッキングされ、HIBPへ匿名の情報源から約500万人の保護者の記録を含むデータが提供された。ハントは、この事例は消費者の個人情報英語版漏洩としては、これまでで4番目に当たる規模であると述べている[21]

2016年5月には、数年前に発生していた大規模な情報漏洩が次々と発覚。2009年頃のMyspaceの3億6000万件、2012年のLinkedInの1億6,400万件、2013年上旬のTumblrの6,500万件、出会い系サイトFling.comの4,000万件と、漏洩したそれぞれのアカウント情報が"peace_of_mind"という名前のハッカーによりダークウェブ上で販売されていた。これらの情報はハントへ提供され、速やかにHIBPへ登録された[22]。さらに翌6月にはロシアのソーシャルネットワークサービス、フコンタクテの1億7,100万件の漏洩したアカウント情報がHIBPに追加された[23]

2017年8月、スパムボットが収集していたメールアドレスのリストの発見に関し、同種の事例としては最大規模の7億1,100万件がリストアップされていたことをBBCニュースが報じ、HIBPに言及した[24]

売却の失敗

編集

2019年6月中旬、ハントはブログで、売却先はまだ決まっていないものの、HIBPの売却計画を進行していることを発表。ハントが1人で運営していることがHIBPの成長のボトルネックとなっており、KPMGと協力して適任な企業を探していると述べた[1]

2020年3月、売却計画は白紙となり、引き続き独立したウェブサイトとして運営されることが発表された[25]

オープンソース化

編集

2020年8月7日、ハントはブログでHIBPのコードベースオープンソース化する意向を表明し[26]、2021年5月28日に一部のコードの公開を開始したことを発表した [27]

脚注

編集

注釈

編集
  1. ^ 「pwn」(en:Pwn) は「own」のスペルミスから派生し「支配している状態であること」を意味する英語のネットスラング。主にFPSなどで「勝利」の意味で用いられ、圧勝したことを相手に挑発的に伝える場合に使われる。元々、ハッカーがウェブサイトやコンピュータをハッキングし、自らの制御下に置くことを意味して使っていた[2]。公式サイトのFAQsでは、Pwnedは一般的に、ある人が支配されている、もしくは、危険に晒されているという意味で使われる。と説明している[3]

出典

編集
  1. ^ a b c Project Svalbard: The Future of Have I Been Pwned” (英語). Troy Hunt (2019年6月11日). 2022年6月15日閲覧。
  2. ^ Danny Paez (2020年3月17日). “HOW “PWNED” WENT FROM HACKER SLANG TO THE INTERNET’S FAVORITE TAUNT” (英語). Inverse. 2022年6月14日閲覧。
  3. ^ FAQs” (英語). Have I Been Pwned?. 2022年6月14日閲覧。
  4. ^ Seltzer, Larry (5 December 2013). “How to find out if your password has been stolen” (英語). ZDNet. 2022年6月15日閲覧。
  5. ^ a b Price, Rob (20 August 2015). “HaveIBeenPwned.com lets you see if you're in the Ashley Madison hack leak” (英語). Business Insider. 2022年6月15日閲覧。
  6. ^ O'Neill, Patrick Howell (16 September 2014). “How to find out if you've been hacked in under a minute” (英語). The Daily Dot. 2022年6月15日閲覧。
  7. ^ Have I Been Pwned is Now Partnering With 1Password” (英語). troyhunt.com (29 March 2018). 2022年6月15日閲覧。
  8. ^ Firefox Monitorの使い方 日本語でパスワード流出を確認”. 株式会社ウインドミル (2018年10月12日). 2022年6月18日閲覧。
  9. ^ “Need a new password? Don't choose one of these 306 million” (英語). Engadget. https://www.engadget.com/2017/08/03/password-pwned-protection-troy-hunt-306-million-breach/ 2022年6月15日閲覧。 
  10. ^ “Find out if your password has been pwned—without sending it to a server” (英語). Ars Technica. https://arstechnica.com/information-technology/2018/02/new-tool-safely-checks-your-passwords-against-a-half-billion-pwned-passwords/ 2022年6月15日閲覧。 
  11. ^ 1Password bolts on a 'pwned password' check – TechCrunch” (英語). techcrunch.com. 2022年6月15日閲覧。
  12. ^ wned Passwords, Open Source in the .NET Foundation and Working with the FBI” (英語). troyhunt.com (2021年5月28日). 2022年6月18日閲覧。
  13. ^ パスワード流出をチェックできる「Have I Been Pwned」、FBIのデータが加わりさらに鉄壁に”. INTERNET WATCH (2021年6月2日). 2022年6月18日閲覧。
  14. ^ Coz, Joseph (10 March 2016). “The Rise of 'Have I Been Pwned?', an Invaluable Resource in the Hacking Age” (英語). Vice. 2022年6月15日閲覧。
  15. ^ Cluley, Graham (5 December 2013). “Check if you're the victim of a data breach with 'Have I Been Pwned?'” (英語). grahamcluley.com. 2022年6月15日閲覧。
  16. ^ Introducing “Have I been pwned?” – aggregating accounts across website breaches” (英語). troyhunt.com (2013年12月4日). 2022年6月15日閲覧。
  17. ^ Rash, Wayne (28 May 2016). “How Troy Hunt Is Alerting Web Users Ensnared in Huge Data Breaches” (英語). eWeek. 2022年6月15日閲覧。
  18. ^ Fox-Brewster, Thomas (28 October 2015). “13 Million Passwords Appear To Have Leaked From This Free Web Host - UPDATED” (英語). Forbes. 2022年6月15日閲覧。
  19. ^ 000webhost (29 October 2015). “We have witnessed a database breach on our main server.”. Facebook. 2022年6月15日閲覧。
  20. ^ Fox-Brewster, Thomas (30 November 2015). “Gambling Darling Paysafe Confirms 7.8 Million Customers Hit In Epic Old Hacks” (英語). Forbes. 2022年6月15日閲覧。
  21. ^ Franceschi-Bicchierai, Lorenzo (27 November 2015). “One of the Largest Hacks Yet Exposes Data on Hundreds of Thousands of Kids” (英語). Vice. 2022年6月15日閲覧。
  22. ^ Storm, Darlene (30 May 2016). “Pwned: 65 million Tumblr accounts, 40 million from Fling, 360 million from MySpace” (英語). Computerworld. 2022年6月15日閲覧。
  23. ^ Whittaker, Zack (10 June 2016). “More "mega breaches" to come, as rival hackers vie for sales” (英語). ZDNet. 2022年6月15日閲覧。
  24. ^ Kelion, Leo (30 Aug 2017). “Giant spambot scooped up 711 million email addresses” (英語). BBC News. 2022年6月15日閲覧。
  25. ^ Project Svalbard, Have I Been Pwned and its Ongoing Independence” (英語). Troy Hunt (2020年3月3日). 2022年6月16日閲覧。
  26. ^ I'm Open Sourcing the Have I Been Pwned Code Base” (英語). troyhunt.com (2020年8月7日). 2022年6月16日閲覧。
  27. ^ Pwned Passwords, Open Source in the .NET Foundation and Working with the FBI”. troyhunt.com (2021年5月28日). 2022年6月16日閲覧。

外部リンク

編集