パスワードが漏れているかも? まずやるべきことはこれだ
しっかりしたパスワードを設定しているから安全だ。こうした思い込みは危ない。そのパスワードがすでに漏えいしている可能性があるからだ。どうすればよいだろうか。
連載第1回では、危険なパスワードとは、どのようなものなのかを紹介した。そこに挙げた注意に従えば、比較的安全なパスワードを作成できる。
だが、これで安心していてはいけない。なぜなら、世界中、日本中でサイバー攻撃によるパスワードの漏えい事故が起き続けているからだ。
パスワードの漏えい件数は数百億件に及ぶ。これは世界人口よりも多い(NordPassによれば1人当たり100個程度のパスワードを持っているため、もちろん全員分が漏えいしたわけではない)。せっかく入力した強力なパスワードであってもすでに攻撃者の手に入っている可能性がある。
100億件のパスワードが漏えいした事件とは
99億4857万5739件の重複のない平文パスワードが漏えいした過去最大規模の事件は、RockYou2024として知られている。
この事件はあるハッキングフォーラムにObamaCareと名乗るユーザーがプレーンテキスト「rockyou2024.txt」を投稿したことで発覚した。発見したのはCyberNewsの研究チームだ。
漏えいしたパスワードは単発のサイバー攻撃で得られたものではない。2021年に公開されたRockYou2021という約84億件のパスワードに、2021〜2024年に漏えいした15億件のパスワードが追加されたものだ。パスワードの出所は4000以上のデータベースだとされている。
漏えいしたパスワードは攻撃用の材料として着々と蓄積されており、犯罪者の間で流通していることが分かる。
ユーザー側で何かできないだろうか。「敵を知り己を知れば百戦殆(あやう)からず」という孫子の兵法に従うとよい。具体的な方法を解説しよう。
漏えいしたパスワードが犯罪者の手に渡って利用されるなら、こちらもその手でいこう。
パスワード漏えい確認サービスを使おう
幸いなことにパスワードを入力すると漏えいしているかどうかを教えてくれるサービスが幾つもある。
Have I been pwned?
まずは「Have I been pwned?」(https://haveibeenpwned.com/)だ。日本語だと「私は乗っ取られたのか」という意味のサービスだ。ここには過去に漏えいしたメールアドレスやパスワードが、2024年2月6日時点で146億3084万7679件登録されている。
Have I been pwnedのWebサイトの画面。パスワードやメールアドレスを入力すると漏えいしているかどうかを教えてくれる。画面の下部には件数の多い漏えい事件(左)や最近追加された漏えいアカウント(右)が表示されている。
このサービスで、メールアドレスやパスワードを入力すると、漏えいしていた場合、どのサービスからいつ漏えいしたのかを表示してくれる。これは有用な情報だ。自分がそのサービスを使っており、漏えい日以降にパスワードを変更していないのであれば、すぐに変更すべきだ。
このサービスはオーストラリアのセキュリティ専門家トロイ・ハント氏が運営している。無償サービスのみが提供されている。
Scattered Secrets
「Scattered Secrets」(https://scatteredsecrets.com/)でもパスワードの漏えいを確認できる。4685件の漏えい事件から得られた77億1166万7752件のパスワードを保持している。このサービスはオランダの企業Scattered Secretsによって運営されており、パスワード漏えい通知サービスやアカウント保護サービスを有償で提供している。
CyberNews Password Leak Checker
約100億件のパスワード漏えいを発見したCyber Newsが運営するサービスが「CyberNews Password Leak Checker」(https://cybernews.com/password-leak-check/)だ。330億2805万1158件のパスワードを保持していることをうたう。今回紹介したサービスの中では規模が最も大きい。無償サービスのみを提供している。
このWebサイトはサイバーセキュリティに関するニュース記事も提供しているため、個別の漏えい事件などについて詳しく知ることができる。
Kaspersky Password Checker
サイバー防御サービスを提供するベンダーのWebサイトでもパスワードの漏えいを確認できるものがある。
例えば「Kaspersky Password Checker」(https://password.kaspersky.com/)はKaspersky Labと契約していなくても利用できる。なお、このサービスでは先程取り上げたHave I been pwned?を利用している。
この他、パスワードの強度をチェックする機能(https://password.kaspersky.com/jp/)を提供しているため、新しいパスワードを作成する際に役立つ。
なお、今回紹介した4つのサービスはどれもユーザーが入力したパスワードを保存しない。さらに、入力したパスワードと漏えいしたパスワードを比較する際にハッシュ値(パスワードから計算した固定長の値で、ハッシュ値からパスワードを復元することはできない)を使う。
つまり、これらのサービスに自分のパスワードを入力してもそれによってパスワードが漏えいすることはないと考えられる。
漏えいが見つかったらどうすればよいのか
以上のようなパスワードの漏えいを確認できるサービスを使った後、ユーザーは何ができるだろうか。
漏えいが見つかった場合はすぐにパスワードの変更が必要だ。連載第1回で紹介した注意を守ってパスワードを新しく作ろう。二要素認証やパスキーが利用できるサービスであれば、利用することを強く勧める。パスワード管理ツールの利用も検討しよう。
漏えいしていなかった場合も安心はできない。パスワード漏えいサイトを確認する次回の日付をカレンダーで予約しておこう。なぜならパスワードの漏えいは毎日のように起こっているからだ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
あなたのパスワードが危ない
パスワードはサイバー攻撃に対する最初の防御手段としてそれなりに役立つ。安全なパスワードを設定するにはどうすればよいだろうか。
ユーザーにパスワード規則を押しつけるのは間違い 代替案はあるのか
長く複雑なパスワードを強制し、一定期間ごとに変更する企業がある。これは間違っているのだろうか。そうだとすればどうすればよいのだろうか。
ID/パスワードの管理が「悪化」 クラウドサービスは使われているのか
業務で利用するID/パスワード管理は煩雑になる一方だ。時間がたつにつれて管理対象が増えていくことはもちろん、働き方の変化にも応じなければならない。こういった問題を解決するためにクラウドの利用は有効なのだろうか。