インターネット上のオンラインサービスに登録をする際FacebookやGoogleのアカウントで認証を行う方もおられるでしょうが、情報漏えいの連鎖を避けるためなどにメールアドレスで登録を行う方も多いかと思います。
しかし、それは連鎖を避けただけで、単独では情報漏えいは起きています。
皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
オンラインサービスから情報漏えいが起きた場合、そこに登録されているメールアドレスやユーザーID、パスワードなどの情報が流出することになります。
しかし、それは知らない間に起きていることも多く、パスワードの使い回しなどを行っている場合は他のサービスでもリスクを抱えることにもなります。
そのため、自身の情報がどこで漏えいしているかは把握しておく必要があるとも言えます。
アカウントの情報漏えいを確認する
あるサイトにおいて、不正侵入などによるアカウントの侵害があったサービスがあるかどうかを調べることができます。
『have i been pwned』というサイトです。
このサイトでは、メールアドレスを入力するだけで、どこのサービスで、いつ、何が原因で、どのデータが侵害されたが確認できるようになっています。
例えば、以下のように表示されます。
Dropbox: In mid-2012, Dropbox suffered a data breach which exposed the stored credentials of tens of millions of their customers. In August 2016, they forced password resets for customers they believed may be at risk. A large volume of data totalling over 68 million records was subsequently traded online and included email addresses and salted hashes of passwords (half of them SHA1, half of them bcrypt).
(Dropbox:2012年中頃、Dropboxは数千万の顧客の保存された資格情報を公開するデータ違反を被った。 2016年8月には、危険にさらされていると思われる顧客のパスワードリセットを強制しました。合計6800万件を超える大量のデータがオンラインで取引され、電子メールアドレスとパスワードの塩漬けハッシュ(SHA1の半分、bcryptの半分)が含まれていました。)
Compromised data: Email addresses, Passwords
(侵害されたデータ:電子メールアドレス、パスワード)
このようなものが見つかった場合、そのサービスに登録されている情報の見直し(場合によっては退会)、他のサービスでも使いまわしているパスワードがあれば他のサービスに登録されている情報の変更など、相応に措置を施しておく必要があります。
また、ここ最近では『have i been pwned』が提供しているデータを使い、Mozillaが公開しているチェックサイトも登場しています。
『Firefox Monitor』というサイトです。
どちらでも構いませんので、一度チェックしてみると良いでしょう。