データ侵害 – 業務改善コンサルティング情報ブログ https://www.trilogyforce.com/blog 業務改善で収益改善! Mon, 17 Jun 2024 01:21:12 +0900 ja hourly 1 https://wordpress.org/?v=6.9.1 Password Checkupでの診断 https://www.trilogyforce.com/blog/diagnosis-with-password-checkup/ https://www.trilogyforce.com/blog/diagnosis-with-password-checkup/#respond Tue, 19 Feb 2019 10:12:09 +0900 https://www.trilogyforce.com/blog/?p=7096 Googleは2月5日(米現地時間)、ブラウザソフト『Google Chrome』向けの拡張機能『Password Checkup』を公開しました。

さて、この『Password Checkup』とは?

Password Checkup

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本国内においてもウェブブラウザのシェアが半数を超える『Google Chrome』ですが、今回、スタンフォード大学の協力を得て『Password Checkup』というものを開発しました。

では、『Password Checkup』とは?

Password Checkupで漏えいチェック

さて、『Google Chrome』の拡張機能として登場した『Password Checkup』とは、名前の通りパスワードをチェックしてくれるものです。

Chromeブラウザでアクセスしているサイトへのログイン情報が第三者に漏えいしていないかをチェックしてくれ、入力したIDとパスワードが流出データと一致していれば警告を発するようになっています。

元々、Googleアカウントに限ってはパスワードの漏えいや悪用を検知するとパスワードが自動的にリセットされる仕組みになっており、その仕組みの効果もあってリスクは通常の1/10程度にまで抑えられているとされています。

今回リリースされた『Password Checkup』はこのGoogleアカウントの保護機能の仕組みを応用し、他のサイトにおけるログイン情報の漏えいなどを検知できるようにしたものです。

ログイン情報が流出したアカウントは40億以上もあるとされており、そういったアカウントの流出は自身ではなかなか気づかないものです。

そのため、今回リリースされた『Password Checkup』などを使うことで警告が発せられた時点で即座にパスワード変更などの対応を取ることができることから、不正利用などによるデータ侵害を未然に防ぐことが期待できそうです。

参考:『Google Security Blog “Protect your accounts from data breaches with Password Checkup”

]]> https://www.trilogyforce.com/blog/diagnosis-with-password-checkup/feed/ 0 アカウントの情報漏えいを確認 https://www.trilogyforce.com/blog/confirm-account-leakage/ https://www.trilogyforce.com/blog/confirm-account-leakage/#respond Wed, 24 Oct 2018 11:45:50 +0900 https://www.trilogyforce.com/blog/?p=6624 インターネット上のオンラインサービスに登録をする際FacebookやGoogleのアカウントで認証を行う方もおられるでしょうが、情報漏えいの連鎖を避けるためなどにメールアドレスで登録を行う方も多いかと思います。

しかし、それは連鎖を避けただけで、単独では情報漏えいは起きています。

データ侵害をチェック

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

オンラインサービスから情報漏えいが起きた場合、そこに登録されているメールアドレスやユーザーID、パスワードなどの情報が流出することになります。

しかし、それは知らない間に起きていることも多く、パスワードの使い回しなどを行っている場合は他のサービスでもリスクを抱えることにもなります。

そのため、自身の情報がどこで漏えいしているかは把握しておく必要があるとも言えます。

アカウントの情報漏えいを確認する

あるサイトにおいて、不正侵入などによるアカウントの侵害があったサービスがあるかどうかを調べることができます。

have i been pwned』というサイトです。

このサイトでは、メールアドレスを入力するだけで、どこのサービスで、いつ、何が原因で、どのデータが侵害されたが確認できるようになっています。

例えば、以下のように表示されます。

Dropbox: In mid-2012, Dropbox suffered a data breach which exposed the stored credentials of tens of millions of their customers. In August 2016, they forced password resets for customers they believed may be at risk. A large volume of data totalling over 68 million records was subsequently traded online and included email addresses and salted hashes of passwords (half of them SHA1, half of them bcrypt).
(Dropbox:2012年中頃、Dropboxは数千万の顧客の保存された資格情報を公開するデータ違反を被った。 2016年8月には、危険にさらされていると思われる顧客のパスワードリセットを強制しました。合計6800万件を超える大量のデータがオンラインで取引され、電子メールアドレスとパスワードの塩漬けハッシュ(SHA1の半分、bcryptの半分)が含まれていました。)

Compromised data: Email addresses, Passwords
(侵害されたデータ:電子メールアドレス、パスワード)

このようなものが見つかった場合、そのサービスに登録されている情報の見直し(場合によっては退会)、他のサービスでも使いまわしているパスワードがあれば他のサービスに登録されている情報の変更など、相応に措置を施しておく必要があります。

また、ここ最近では『have i been pwned』が提供しているデータを使い、Mozillaが公開しているチェックサイトも登場しています。

Firefox Monitor』というサイトです。

どちらでも構いませんので、一度チェックしてみると良いでしょう。

]]> https://www.trilogyforce.com/blog/confirm-account-leakage/feed/ 0