パスワードが漏れているかも？ まずやるべきことはこれだ

しっかりしたパスワードを設定しているから安全だ。こうした思い込みは危ない。そのパスワードがすでに漏えいしている可能性があるからだ。どうすればよいだろうか。

[畑陽一郎，キーマンズネット]

　連載第1回では、危険なパスワードとは、どのようなものなのかを紹介した。そこに挙げた注意に従えば、比較的安全なパスワードを作成できる。

　だが、これで安心していてはいけない。なぜなら、世界中、日本中でサイバー攻撃によるパスワードの漏えい事故が起き続けているからだ。

　パスワードの漏えい件数は数百億件に及ぶ。これは世界人口よりも多い（NordPassによれば1人当たり100個程度のパスワードを持っているため、もちろん全員分が漏えいしたわけではない）。せっかく入力した強力なパスワードであってもすでに攻撃者の手に入っている可能性がある。

100億件のパスワードが漏えいした事件とは

　99億4857万5739件の重複のない平文パスワードが漏えいした過去最大規模の事件は、RockYou2024として知られている。

　この事件はあるハッキングフォーラムにObamaCareと名乗るユーザーがプレーンテキスト「rockyou2024.txt」を投稿したことで発覚した。発見したのはCyberNewsの研究チームだ。

　漏えいしたパスワードは単発のサイバー攻撃で得られたものではない。2021年に公開されたRockYou2021という約84億件のパスワードに、2021〜2024年に漏えいした15億件のパスワードが追加されたものだ。パスワードの出所は4000以上のデータベースだとされている。

　漏えいしたパスワードは攻撃用の材料として着々と蓄積されており、犯罪者の間で流通していることが分かる。

　ユーザー側で何かできないだろうか。「敵を知り己を知れば百戦殆（あやう）からず」という孫子の兵法に従うとよい。具体的な方法を解説しよう。

　漏えいしたパスワードが犯罪者の手に渡って利用されるなら、こちらもその手でいこう。

パスワード漏えい確認サービスを使おう

　幸いなことにパスワードを入力すると漏えいしているかどうかを教えてくれるサービスが幾つもある。

Have I been pwned?

　まずは「Have I been pwned?」（https://haveibeenpwned.com/）だ。日本語だと「私は乗っ取られたのか」という意味のサービスだ。ここには過去に漏えいしたメールアドレスやパスワードが、2024年2月6日時点で146億3084万7679件登録されている。

Have I been pwnedのWebサイトの画面。パスワードやメールアドレスを入力すると漏えいしているかどうかを教えてくれる。画面の下部には件数の多い漏えい事件（左）や最近追加された漏えいアカウント（右）が表示されている。

　このサービスで、メールアドレスやパスワードを入力すると、漏えいしていた場合、どのサービスからいつ漏えいしたのかを表示してくれる。これは有用な情報だ。自分がそのサービスを使っており、漏えい日以降にパスワードを変更していないのであれば、すぐに変更すべきだ。

　このサービスはオーストラリアのセキュリティ専門家トロイ・ハント氏が運営している。無償サービスのみが提供されている。

Scattered Secrets

　「Scattered Secrets」（https://scatteredsecrets.com/）でもパスワードの漏えいを確認できる。4685件の漏えい事件から得られた77億1166万7752件のパスワードを保持している。このサービスはオランダの企業Scattered Secretsによって運営されており、パスワード漏えい通知サービスやアカウント保護サービスを有償で提供している。

Scattered SecretsのWebサイトの画面。図の下部には犯罪者がどのように行動するのかが描かれている。

CyberNews Password Leak Checker

　約100億件のパスワード漏えいを発見したCyber Newsが運営するサービスが「CyberNews Password Leak Checker」（https://cybernews.com/password-leak-check/）だ。330億2805万1158件のパスワードを保持していることをうたう。今回紹介したサービスの中では規模が最も大きい。無償サービスのみを提供している。

　このWebサイトはサイバーセキュリティに関するニュース記事も提供しているため、個別の漏えい事件などについて詳しく知ることができる。

CyberNews Password Leak CheckerのWebサイトの画面。図の下部では最近起きた情報漏えいや、大規模な情報漏えいについて参照できるようになっている。

Kaspersky Password Checker

　サイバー防御サービスを提供するベンダーのWebサイトでもパスワードの漏えいを確認できるものがある。

　例えば「Kaspersky Password Checker」（https://password.kaspersky.com/）はKaspersky Labと契約していなくても利用できる。なお、このサービスでは先程取り上げたHave I been pwned?を利用している。

　この他、パスワードの強度をチェックする機能（https://password.kaspersky.com/jp/）を提供しているため、新しいパスワードを作成する際に役立つ。

Kaspersky Password Checkerの画面

　なお、今回紹介した4つのサービスはどれもユーザーが入力したパスワードを保存しない。さらに、入力したパスワードと漏えいしたパスワードを比較する際にハッシュ値（パスワードから計算した固定長の値で、ハッシュ値からパスワードを復元することはできない）を使う。

　つまり、これらのサービスに自分のパスワードを入力してもそれによってパスワードが漏えいすることはないと考えられる。

漏えいが見つかったらどうすればよいのか

　以上のようなパスワードの漏えいを確認できるサービスを使った後、ユーザーは何ができるだろうか。

　漏えいが見つかった場合はすぐにパスワードの変更が必要だ。連載第1回で紹介した注意を守ってパスワードを新しく作ろう。二要素認証やパスキーが利用できるサービスであれば、利用することを強く勧める。パスワード管理ツールの利用も検討しよう。

　漏えいしていなかった場合も安心はできない。パスワード漏えいサイトを確認する次回の日付をカレンダーで予約しておこう。なぜならパスワードの漏えいは毎日のように起こっているからだ。