fbpx

「Have I been Pwned(HIBP)」とは?~Facebookが流出した電話番号もパスワードもチェックできる個人情報流出確認サイトのすべて

2021年4月、Facebookが5億人もの個人情報を流出させていたと衝撃の発表がありました。LinkedIn、Clubhouseも同様の流出問題を発生させています。
これまで無数の企業やサービスから個人情報が流出していますが、「自分の電話番号やメールアドレス、パスワード」が漏れていないか確認できるサービスが「Have I been Pwned(私はやられていないか?略称HIBP)」です。
「Have I been Pwned(HIBP)」の使い方、偽チェックサイト問題などの注意点、そして安全性や信頼性について詳しくご説明します。
/ins>

2021年4月のFacebook個人情報大規模流出事件について

流出事件の概要

2021年4月3日、サイバー犯罪に手を染めるハッカーたちが集まるネット上の闇フォーラムにFacebookユーザーの電話番号などの個人情報が大量に公開されている事実が明らかになりました。

今まで明らかになった漏えい内容の概要は以下の通りです。

  • 5億3331万3128人のFacebookユーザーの個人情報が2020年6月頃より公開されていた。
  • 流失したデータは、携帯電話番号、Facebook ID、名前、性別、生年月日、電子メールアドレス、居住地、交際ステータス、職業。
  • Facebook ID、名前、性別、携帯電話番号はほぼ全てのデータに含まれている。
  • データは当初は販売されていたが、無料で公開されるようになった。
  • 日本から流出したデータと思われるのは42万8625件

 

電話番号の公開範囲を「自分だけ」にしていた人は流出はなさそうですし、国内の推定会員数2600万に比べると、留数件数はわずかとも言えます。

しかし、電話番号と氏名にその他の情報もセットで流出した影響は相当深刻(後述)です。

 

LinkedIn、Clubhouseからも同様なユーザーデータ流出が発生

2021年4月6日、ビジネス界に特化したSNSであるLinkedInからも、会員のぼ全部に当たる5億件のユーザーデータが販売されているとの報道がありました。

データには「ID、氏名、メールアドレス、電話番号、肩書」などが含まれているとのことです。

また今年になって急激にユーザーを集めているClubhouseからの130万件ものデータも公開されています
事実だとすれば、Clubhouseは実名性のため、氏名を公開していなかった他のサービスのユーザーが、Clubhouse経由で実名が知られてしまうリスクもあります。

LinkedInもClubhouseもこの事実を認めていますが、LinkedInは「公開されているデータはLinkedInのものではなく、偽造されたFakeだ」とし、、ClubhouseもFacebookと同じく「ハッキングではなく、WEBスクレイプして大量の個人情報データを取得された、もともと公開されている情報ばかりだ」と反論しています。

 

Facebook側の説明は

Facebookよりは2021年4月7日に以下のように公式な発表がされました。

概要は、

  • 犯人は、Facebookシステムに侵入したのではなく、「ユーザーの連絡先リストから、接続する友達を簡単に見つけるため」の「連絡先インポーター」機能を悪用(WEBスクレイプ)して大量の個人情報データを取得した。
  • 2019年9月以前に悪用に気がつき、今では悪用できないように改修されている。
  • FacebookはWEBスクレイプを規約で禁止しているし、悪意のある行動を発見した時は阻止する。
  • ユーザーは自分のアカウントの「人々があなたを見つけて連絡する方法」を見直したり、二段階認証を有効にするなどチェックをして欲しい。

以上の事から、Facebookは「漏えい事件」としては認めていないようで、謝罪もしていません。

 

Facebook、LinkedIn、Clubhouseの問題からユーザーが注意すべきことは?

対策が講じられるまで公開情報は制限する

ネット上では、セキュリティの専門家から、非難だけでなく

 「あきれた」

 「犯罪者相手に規約が通じるわけもなく、哀れだ」

といった批判が多数寄せられています

「誰でもアクセスして、公開されているユーザープロフィール情報を収集してダウンロード(WEBスクレイプ)できること自体が大問題ではないか」という疑問を強く感じます

つまり、今回の事例から、「不正侵入されなくても、公開情報から個人情報が拭き取られる危険がある」ことをユーザーは覚悟し、公開情報には慎重に対処すべきです

WEBスクレイプ問題が解消しない限り、「電話番号やメールアドレスは原則として公開しない」のが正しい対処方法でしょう。

 

電話番号やメールアドレスが流出していないか調べることが重要

とりあえずの対策としては、自分の電話番号やメールアドレスが流出していないか調べるべきこつが必要です。

定評ある個人情報流出確認サービス「Have I been Pwned(HIBP)」が、今回Facebookから漏えいしたデータをデータベース化して、流出したかの有無を照会できるようになりました。

早速、自分の個人情報が漏えいしていないか、調べて見ましょう!

 

「個人情報流出確認サービスHave I been Pwned(HIBP)」とは?

「Have I been Pwned」にアクセスする

Have I been Pwned」(https://haveibeenpwned.com/) にアクセスします。

英語サイトですが、使い方は簡単ですし、ブラウザーの翻訳機能をONにすれぱ特に困る事はありません。

「11億ものアカウントが盗まれ」ていて、Facebookの漏えいも5億945万件登録済みと書かれています。

「Have I been Pwned」に電話番号かメールアドレスを入力する

メールアドレスはそのまま記入します。

電話番号は「国番号」をつけて記入します。

日本の国番号は「81」ですので、電話番号の冒頭の0を取って81に続けて入力し、「pwned?(やられたかな?)」をクリックします。

例 03-1234-5678 → 81312345678
  090-1234-5678  → 819012345678

個人情報流出確認サービスHave I been Pwnedの入力方法

 

「Have I been Pwned」の結果を確認する

情報漏えいが発見できないとき

「Good news – no pwnage found!
(良いニュースです。「やられた」が見つかりません!)」

が表示されます。

 

情報漏えいが見つかったときは?

「Oh no – Pwned
(ああ、やられた!4つのデータ侵害が発生し、解決方法はありませんでした(詳しく検索するには登録してください)」

が表示されます。

 

情報漏えいが見つかったときはどうしたら良いのか?

流出事件によって予想される被害と防止するには?

今回はパスワードやクレジットカード情報のように被害に直結する情報は盗まれていませんが、「氏名」「電話番号」が含まれているため、次のようなサイバー攻撃が予想されます。

  • フィッシングメール、フィッシングSMS(=スミッシング)に悪用される
  • 携帯電話番号を利用して、SMSを乗っ取り、二段階認証を破る攻撃も可能。

Facebookユーザーは、

  • フィッシング詐欺メールや詐欺SMSに特に注意し、文中のURLや添付ファイルの扱いは十分気をつける。
  • 特に電話番号を経由するSMSによる偽通知や、ボイスフィッシングにも注意

が必要です。

フェイスブックの説明では、「検索と連絡に関する設定」で「電話番号であなたを検索できる人」を「自分のみ」にしてあれば、心配はないようですが、不安は残ります。

ブログ内の関連記事(新しいウィンドウで開きます)

音声通話とフィッシングを巧みに組み合わせた新たなサイバー詐欺「ボイスフィッシング(Voice phishing)」が拡大しはじめています。すでに韓国では大きな被害を出していますが、オレオレ詐欺の土壌がある日本でも今後増加が予想され大変危[…]

新手の詐欺「ボイスフィッシング/ビッシング攻撃」のすべて
ブログ内の関連記事(新しいウィンドウで開きます)

SMSを悪用する「スミッシング詐欺=SMSフィッシング詐欺」の被害が広がっています。宅配便、Amazon、楽天の不在通知から、銀行の通知をよそおうものまで、フィッシングメール以上に被害が広がっています。女優の生駒里奈さんも被害にあいまし[…]

スミッシング(SMSフィッシング詐欺)メールのイメージイラスト

 

「Have I been Pwned」にメールアドレスを登録して新たな漏えいに備えよう

最上部のメニューより「Notify me」を選択し、開いた下記の画面に自分のメールアドレスを登録しておけば、今後新たな漏えいにの被害にあった際にメールで知らせてくれます

登録しても、他の目的に使われたり、広告メールが来ることも一切ありません。

被害を未然に防ぐために必ず登録しておきましょう。

 

「Have I been Pwned(HIBP)」ではパスワードの漏えいもチェックできます

HIBPのメニューの「パスワード」または、https://haveibeenpwned.com/Passwordsをクリックすると、下記のようなパスワード入力画面が開きます。

欄に調べたいメールアドレスを入力すると、過去に漏えい事件の対象となってしまった膨大なメールアドレスのリストから検索して、結果を教えてくれます。

流出していないメールアドレスの時は

流出していた時は「やられた」と表示され、対策についても説明してくれます。

 

ブログ内の関連記事(新しいウィンドウで開きます)

誰もがついやっている「同じパスワードの使い回し」。どうしてパスワードの使い回してはいけないのか? 危険性を具体的な事件の実例と共にご説明します。「パスワードの使い回し」は、被害に直結するデジタルの使い方では最悪の行為です。きっぱりやめましょ[…]

 

「個人情報流出確認サービスHave I been Pwned(HIBP)」は信用できるのか?安全か?

HIBPは長い実績があり安全で信頼できるサービスです

セキュリティをうたいながら怪しいアプリやサービスが多数ある現在、「Have I been Pwned(HIBP)」は本当に信用できるサービスなのでしょうか?

当ブログでは、「Have I been Pwned(HIBP)は極めて信頼できる頼もしいサービス」と確信しています。
その理由は

運営者の身元も確かで長期間の運営実績がある

Have I been Pwned(HIBP)はオーストラリアのゴールドコースト在住のセキュリティ技術者のトロイ・ハント(Troy Hunt)氏が2013年末に立ち上げたサービスです。

ハント氏は元々高い技術を持つ有名なセキュリティ技術者でしたが、HIBPを設立後は、1人会社として経営し運営を続けています。

すでに100億を超える漏えいしたデータを集めたデータベースを運営しており、その規模は大手のセキュリティ企業もかなわず随一と言って良いものです。

非営利で運営内容やシステムの詳細が公開されている

HIBPは完全に無料で運営されています。

運営コストは、ユーザーからの寄付と、Firefoxなどのブラウザーやセキュリティサービスに「漏えい情報を検索できるサービス」を有料で提供することで補っています。

ハント氏は非常に公明正大な人で、HIBPの運営状況やシステムの内容はサイト上、ブログやTwitterで随時公開しています。

またハント氏自身も、講演やセミナーを通して、全世界のセキュリティ関係者には大変信頼され尊敬されています。

今回Facebookが漏えいした電話番号データをHIBP上に公開することについても、ハント氏は当初は「電話番号は国によって形式が異なるため検索が難しい」と懐疑的でしたが、Twitter上で意見を募集したところ公開希望の声が多かったことと、「偽サイト出現(後述)」のため、急遽開発し公開されることになりました。

機密データの保管について信頼性が高い

HIBPの構造や、保管しているデータなどの詳細は全て公開されています。

非営利サービスののため、「データを売って稼ぐ必要もありません」。

ハント氏はあまりの多忙のため、一時事業の売却を検討し、多くの企業や組織が応募してきましたが、「営利目的の企業ではHave I been Pwned(HIBP)の志に基づいた運営は困難」として売却をやめ、個人運営に戻した経緯もあります

 

「個人情報流出確認サービスHave I been Pwned(HIBP)」の注意

類似の偽チェックサイトに注意して下さい。

Have I been Pwned(HIBP)自体は信頼できるサービスですが、Facebookの電話番号流出事件をきっかけに、模倣したサービスが多数出現しています。

チェックサービスで、メールアドレスや電話番号、パスワードのチェックするということは、「相手に秘密の情報を与えてしまうこと」ですから、いかに危険なことかはお分かりいただけるでしょう

信頼できる研究機関が運営しているものもありますが、正当性が不明の怪しいものも多数見つかっています。

ハント氏自身が氏のブログで語っていますが、

Another reason for pushing this feature out now is the sudden emergence of HIBP clones. I use this term endearingly; it’s flattering to see my project influence others 🙂 But I also have absolutely no idea how trustworthy any of the multiple variations I’ve seen pop up already are. So, to avoid any shadow of doubt, I wanted to make sure that if you’d like to know if you’ve been pwned in the Facebook data, you can ask HIBP regardless of whether it’s an email address or a phone number you’re interested in.

「Have I been Pwned(HIBP)にFacebookの電話番号を対応させたのは、HIBPのクローンが出現したからである。マネされるのはうれしいことだが、信頼性があるとは思えなかったため、誤解を避けるために電話番号も対応するようにした」

とのことです。

またHIBPと同様のサービスは、すでにGoogleもChromeブラウザーに組み込んでおり、他にも

■ノートン 「個人情報流出チェックページ 

■トレンドマイクロ 「ウイルスバスター チェック!

など大手セキュリティ会社も提供しています。

ネットやSNSで見かけたできたばかりの無名のサービスを利用するのは非常に危険です。

HIBP以外を使う場合は、長くサービスを行っている有名セキュリティ企業のものだけを使いましょう。

セキュリティ確認サービスは、絶対に信頼できるサービスだけを使うように十分にご注意ください。

 

まとめ:
Have I been Pwned(HIBP)で自分のメールアドレスや電話番号をチェックし、被害を未然に防ぎましょう

ご説明した通り、Have I been Pwned(HIBP)は大変信頼性が高く優れたサービスです。

ぜひメールアドレスやパスワードを確認してください。

そしてもしも侵害されていたときは、すぐに対処しましょう。それだけであなたのリスクは大幅に減ります。

ぜひご家族や身近な方にも教えてあげて下さい。

 

 

Digital Keeperお薦めのセキュリティソフト

やはりセキュリティ専門ソフトは必要です

現在のデジタル機器はセキュリティが強化され、昔のようにウイルスには簡単に感染させることができなくなりました。

そこで攻撃方法はユーザーをだます「フィッシング」によって、不正プログラムを感染させたり、偽サイトで個人情報を盗み取る手法に移行しています。

Windows10のセキュリティ機能(Windows Defender)は、ウイルスの侵入は防ぎますが、フィッシング対策はありません。

セキュリティ専門ソフトは、より強力な防御力と以下のような追加機能で、あなたとご家族がだまされてしまうリスクも低減し、万一の時も、被害低減してくれます。

  • フィッシングサイト等、ネット上の危険なコンテンツへのアクセスを止める。
  • フィッシングメールにだまされてうっかりURLをクリックしても「警告」して止める。
  • 仮に感染しても重要な個人情報の流出や不正送金を食い止める。
  • ネット上にあなたの個人情報が流出していないか調査する。
  • お子様のネットの利用時間や不健全なサイト利用を制限する。
  • 紛失したスマホを探したり、データを削除する。
  • 外出時に使う公衆wifiをVPNを使って安全に使用する。

といった機能です。

※iPhoneは強固な構造のためセキュリティアプリは不要とされています。Androidスマホにはセキュリティアプリは絶対に必要です。

セキュリティソフトの選び方、買い方

セキュリティソフトの選択は、価格や広告で選んではいけません!まして無料なアプリはかえって危険につながることもあります。

  • 世界各国で使用実績が豊富で、要求が厳しい企業向け製品にも実績のある
  • 運営会社が信頼でき、国家からの干渉がなく、個人情報やデータの秘密が守られる
  • 動作が軽く、機器使用の障害にならない
  • ご自身だけでなく、ご家族のスマートフォン、タブレットもすべてカバーできる

製品ををおすすめします。

また、タブレットやスマホまで、トータルでカバーできる製品では「子供が紛失したスマホを探し出す」事など家中の機器をもれなく一括してセキュリティ管理でき、個別に揃えるより費用も大幅に安くなります。

購入に当たっては、店頭販売のパッケージ版より、ダウンロード販売の方が価格が安く、使用環境に併せて、使用機器の数や機能を選択できるため、はるかに便利です。
家庭のパソコンやスマホの数(1台~10台)や使用期間(1年~3年)にあったものをお選びください。

お奨めのセキュリティソフトは?

Digital Keeperが社内でも使用し、おすすめしているのは「Kaspersky」の製品です。

世界でも指折りのセキュリティ技術の先進国ロシア発祥のセキュリティ会社ですが、今では国家からの干渉を避けるため、本拠をスイスに移し、世界各国の開発拠点で活動しています。

もっとも大切な防御力は世界各地の第三者機関のテストで常に「最上」の評価を受けるなど間違いなくNo.1です。

また付属する機能も豊富で「これだけ入れておけば他のセキュリティ製品は不要」なほどですが、それでいて動作も重くないのがすばらしいです。

下記のバナーから無料の30日間体験版がダウンロードできますので、使ってみて性能を実感してみてください。