「Have I been Pwned(HIBP)?」とは?~電話番号もパスワードもチェックできる流出個人情報確認サイトのすべて

これまで無数の企業やサービスから個人情報が流出していますが、「自分の電話番号やメールアドレス、パスワードの流出をチェックできるサービス」の中で、もっとも信頼でき安全な確認サイトが「HIBP~Have I been Pwned(私はやられていないか?)」です。
2021年4月Facebookが5億人もの個人情報を流出させたとの報道は個人が公開情報に気を配るべきことを再認識させられました。

「Have I been Pwned(HIBP)」の使い方、偽チェックサイト問題などの注意点、そしてもっとも大切な「HIBPの安全性や信頼性」について詳しくご説明します。

Facebookなど個人情報大規模流出事件に備えるためには_

流出事件の概要

2021年4月3日、サイバー犯罪に手を染めるハッカーたちが集まるネット上の闇フォーラムにFacebookユーザーの電話番号など5億人分以上の個人情報が大量に公開されている事実が明らかになりました。

ブログ内の関連記事(新しいウィンドウで開きます)

ドキシング(doxing)とは「個人の情報を本人同意なく収集してネット上にさらす行為」のことで、SNSが最大の流出元です。2021年4月、Facebookが5億人もの個人情報を流出させたと衝撃の発表があり、LinkedIn、Clubho[…]

過去にも同様の膨大な個人情報流出が起きています。

サービスやアプリからの流出はユーザーとしては対策しようがありませんが、流出したデータは、

「フィッシング詐欺」「パスワードリスト攻撃」「ボイスフィッシング(ビッシング)」などのサイバー犯罪に使われてしまいます。

電話番号やメールアドレスが流出していないか調べておくことは大切

今回の事例から、「大手のサービスと言えども、公開情報から個人情報が拭き取られる危険がある」ことをユーザーは覚悟し、公開情報には慎重に対処すべきです

またいったん流出した個人情報は取り返すことは不可能で、今後いろいろな犯罪に使われてしまいますから、対策を講じることが大切です。

まず、自分の電話番号やメールアドレスが流出していないか調べることが必要です。

しかし注意いただきたいのは、確認のためには自分の電話番号やメールアドレス、パスワードを相手に公開して知られてしまうことになるため、「信頼できないサービスを使ってはいけない」と言うことです!

政府機関や捜査機関とも提携し、世界中で使われている個人情報流出確認サービス「Have I been Pwned(HIBP)」が、今回Facebookから漏えいしたデータをデータベース化して、流出したか有無を照会できるようになりました。

早速、自分の個人情報が漏えいしていないか、調べて見ましょう!

 

※Facebookや子会社のInstagramは、かなり露骨にユーザー情報の第三者提供を行っています。

ブログ内の関連記事(新しいウィンドウで開きます)

スマホのアプリは生活に欠かせないものですが、危険アプリがアクセス権限を悪用して個人情報を流出させる事例も多発しています。また広告代や課金目当てに不要アプリをすすめる詐欺広告も迷惑や被害を生み出しています。さらに大手サービスも含む「大量の[…]

「危険アプリ、個人情報を外部に提供する不正アプリ」の危ない実態と被害を防ぐ基本知識を知ろう

 

「個人情報流出確認サービスHave I been Pwned(HIBP)」とは?

Have I been Pwned(HIBP)は、もっとも信頼できる流出情報確認サービス

類似の確認サービスは多数ありますが、無料の上、信頼性が高く、全世界でもっとも信用されているのが「Have I Been Pwned?」という「漏えいの可能性があるメールアドレス/パスワード/電話番号を検索して、リスクや漏えい元を教えてくれる」サービスです。

オーストラリア在住の有名なセキュリティの専門家であるTroy Hunt氏が長く運営していて、全世界のセキュリティ研究機関や、FBIのような公的捜査機関とも連携して、世界中のセキュリティ専門家の指導的な役割も果たしています。

「Have I been Pwned」の使い方

Have I been Pwned」(https://haveibeenpwned.com/) にアクセスします。

英語サイトですが、使い方は簡単ですし、ブラウザーの翻訳機能をONにすれぱ特に困る事はありません。

まず画面を見ると、「111億ものアカウントが盗まれ」ていて、Facebookの漏えいも5億945万件登録済みと書かれています。

またHave I been Pwned(HIBP)には、2021年4月27日より、全世界で甚大な被害をもたらした最凶マルウェアのEMOTETに関係した全世界で4,324,770ものメールアドレスも追加されています。

提供元はEMOTET操作に功績を上げたオランダの捜査機関です。

EMOTET自体は犯罪組織が壊滅させられたため、表向きは現在は活動を停止していますが、いったん漏れたメールアドレスは悪用される可能性が高いため、大切なアカウントには使用しないようおすすめします。

「Have I been Pwned」に電話番号かメールアドレスを入力する

メールアドレスはそのまま記入します。

電話番号は「国番号」をつけて記入します。

日本の国番号は「81」ですので、電話番号の冒頭の0を取って81に続けて入力し、「pwned?(やられたかな?)」をクリックします。

例 03-1234-5678 → 81312345678
  090-1234-5678  → 819012345678

個人情報流出確認サービスHave I been Pwnedの入力方法

 

「Have I been Pwned」の結果を確認する

情報漏えいが発見できないとき

「Good news – no pwnage found!
(良いニュースです。「やられた」が見つかりません!)」

が表示されます。

 

情報漏えいが見つかったときは?

「Oh no – Pwned
(ああ、やられた!4つのデータ侵害が発生し、解決方法はありませんでした(詳しく検索するには登録してください)」

と、「流出した原因の事件詳細」が表示されます。

 

情報漏えいが見つかったときはどうしたら良いのか?

流出事件によって予想される被害と防止するには?

メールアドレスや電話番号は、パスワードやクレジットカード情報のように被害に直結する情報ではありませんが、次のようなサイバー攻撃が予想されます。

  • フィッシングメール、フィッシングSMS(=スミッシング)に悪用される
  • 携帯電話番号を利用して、SMSを乗っ取り、二段階認証を破る攻撃も可能。

またFacebookから流出したユーザーは、

  • フィッシング詐欺メールや詐欺SMSに特に注意し、文中のURLや添付ファイルの扱いは十分気をつける。
  • 特に電話番号を経由するSMSによる偽通知や、ボイスフィッシングにも注意

が必要です。

 

ブログ内の関連記事(新しいウィンドウで開きます)

心当たりのない領収書や請求書メールが届いたので思わず電話をしようとしたことありませんか?それは電話させることを狙った詐欺の可能性があります!公的機関や銀行になりすまし、電話や音声通話とフィッシングを巧みに組み合わせた新たなサイバー詐欺「[…]

新手の詐欺「ボイスフィッシング/ビッシング攻撃」のすべて
ブログ内の関連記事(新しいウィンドウで開きます)

SMS(ショートメッセージ)を悪用する「スミッシング詐欺=SMSフィッシング詐欺」の被害が再び広がっています。ドコモ、日本郵便、Amazon、楽天の宅配の不在通知から、銀行の通知をよそおうものまで、フィッシングメール以上に被害が広がって[…]

スミッシング(SMSフィッシング詐欺)メールのイメージイラスト

 

「Have I been Pwned」にメールアドレスを登録して新たな漏えいに備えよう

最上部のメニューより「Notify me」を選択し、開いた下記の画面に自分のメールアドレスを登録しておけば、今後新たな漏えいにの被害にあった際にメールで知らせてくれます

登録しても、他の目的に使われたり、広告メールが来ることも一切ありません。

また上でご説明したEMOTETに関係したメールアドレスは、被害の拡大を防ぐため、通常のHIBP検索では出でこず、メールアドレスを登録した人だけに別途メールで連絡があります。

被害を未然に防ぐために必ず登録しておきましょう。

 

 

「Have I been Pwned(HIBP)」ではパスワードの漏えいもチェックできます

HIBPのメニューの「パスワード」または、https://haveibeenpwned.com/Passwordsをクリックすると、下記のようなパスワード入力画面が開きます。

欄に調べたいメールアドレスを入力すると、過去に漏えい事件の対象となってしまった膨大なメールアドレスのリストから検索して、結果を教えてくれます。

流出していないメールアドレスの時は

流出していた時は「やられた」と表示され、対策についても説明してくれます。

 

ブログ内の関連記事(新しいウィンドウで開きます)

「とても覚えられない!」と誰もがやってしまう「同じパスワードの使い回し」。「パスワードの使い回し」は、事件事故と被害に直結する最悪の行為ですが最新の調査では「パスワードを使い回している人の割合は8割」という衝撃的な結果も出ました。ど[…]

 

「個人情報流出確認サービスHave I been Pwned(HIBP)」は信用できるのか?安全か?

HIBPは長い実績があり安全で信頼できるサービスです

セキュリティをうたいながら怪しいアプリやサービスが多数ある現在、「Have I been Pwned(HIBP)」は本当に信用できるサービスなのでしょうか?

当ブログでは、「Have I been Pwned(HIBP)は極めて信頼できる頼もしいサービス」と確信しています。
その理由は

運営者の身元も確かで長期間の運営実績がある

Have I been Pwned(HIBP)はオーストラリアのゴールドコースト在住のセキュリティ技術者のトロイ・ハント(Troy Hunt)氏が2013年末に立ち上げました。

ハント氏は元々高い技術を持つ有名なセキュリティ技術者でしたが、HIBPを設立後は、1人会社として経営し運営を続けています。

すでに100億を超える漏えいしたデータを集めたデータベースを運営しており、その規模は大手のセキュリティ企業もかなわず、世界随一と言って良いものです。

非営利で運営内容やシステムの詳細が公開されている

HIBPは完全に無料で運営されています。

運営コストは、ユーザーからの寄付と、Firefoxなどのブラウザーやセキュリティサービスに「漏えい情報を検索できるサービス」を有料で提供することで補っています。

ハント氏は非常に公明正大な人で、HIBPの運営状況やシステムの内容はサイト上、ブログやTwitterで随時公開しています。

またハント氏自身も、講演やセミナーを通して、全世界のセキュリティ関係者には大変信頼され尊敬されています。

またその高い信頼性により、FBIをはじめとする、世界各国のセキュリティや捜査機関とも連携して、データを分析しており、その精度はますます高まるばかりです。

機密データの保管について信頼性が高い

HIBPの構造や、保管しているデータなどの詳細は全て公開されています。

非営利サービスののため、「データを売って稼ぐ必要」もありません。

ハント氏はあまりの多忙のため、一時事業の売却を検討し、多くの企業や組織が応募してきましたが、「営利目的の企業ではHave I been Pwned(HIBP)の志に基づいた運営は困難」として売却をやめ、個人運営に戻した経緯もあります

 

 

 

「個人情報流出確認サービスHave I been Pwned(HIBP)」を使う時の注意

類似の偽チェックサイトには自由分に注意。

ハント氏も「信頼できない確認サイト」「チェックサービス」に注意を促している

今回Facebookが漏えいした電話番号データをHIBP上に公開することについても、ハント氏は当初は「電話番号は国によって形式が異なるため検索が難しい」と懐疑的でした。

しかし、Twitter上で意見を募集したところ、公開希望の声が多かったことと、「偽サイト出現(後述)」のため、急遽開発し公開されることになりました

 

Have I been Pwned(HIBP)自体は信頼できるサービスですが、Facebookの電話番号流出事件をきっかけに、HIBPを模倣したサービスが多数出現しています。

チェックサービスで、メールアドレスや電話番号、パスワードのチェックするということは、「相手に自分の秘密の情報を与えてしまうこと」ですから、いかに危険なことかはお分かりいただけるでしょう

もちろん信頼できる研究機関が運営しているものもありますが、正当性が不明の怪しいものも多数見つかっています。

ハント氏自身が氏のブログで語っていますが、

Another reason for pushing this feature out now is the sudden emergence of HIBP clones. I use this term endearingly; it’s flattering to see my project influence others 🙂 But I also have absolutely no idea how trustworthy any of the multiple variations I’ve seen pop up already are. So, to avoid any shadow of doubt, I wanted to make sure that if you’d like to know if you’ve been pwned in the Facebook data, you can ask HIBP regardless of whether it’s an email address or a phone number you’re interested in.

「Have I been Pwned(HIBP)にFacebookの電話番号を対応させたのは、HIBPのクローンが出現したからである。マネされるのはうれしいことだが、信頼性があるとは思えなかったため、誤解を避けるために電話番号も対応するようにした

とのことです。

信頼できる確認サイト、チェックサービスだけを使おう!

なおHIBPと同様のサービスは、すでにGoogleもChromeブラウザーに組み込んでおり、他にも

■ノートン 「個人情報流出チェックページ 

■トレンドマイクロ 「ウイルスバスター チェック!

など大手セキュリティ会社も提供しています。

ネットやSNSで見かけたできたばかりの無名のサービスを利用するのは非常に危険です。

HIBP以外のチェックサービスを使う場合は、長くサービスを行っている有名セキュリティ企業や研究機関のものだけを使いましょう。

セキュリティ確認サービスは、絶対に信頼できるサービスだけを使うように十分にご注意ください。

 

 

まとめ:
Have I been Pwned(HIBP)で自分のメールアドレスや電話番号をチェックし、被害を未然に防ぎましょう

ご説明した通り、Have I been Pwned(HIBP)は大変信頼性が高く優れたサービスです。

ぜひメールアドレスやパスワードを確認してください。

そしてもしも侵害されていたときは、すぐに対処しましょう。それだけであなたのリスクは大幅に減ります。

ぜひご家族や身近な方にも教えてあげて下さい。

その他の無料の信頼できるセキュリティツール

  1. パソコンをスキャンしてマルウェア(ウイルス)を駆除してくれる
    ブログ内の関連記事(新しいウィンドウで開きます)

    マイクロソフトが無料で配布しているMicrosoft Safety Scannerはマルウェア(ウイルス)を徹底的に検索し削除してくれる強力かつ信頼できるスキャンツールです。検出率や性能は高く評価できますが、一般的なセキュリティ対策ソフ[…]

    無料で高性能!信頼できるウイルス対策ソフトMicrosoft Safety Scannerとは?便利な使い方から性能、注意点まで
  2. URLや添付ファイルをチェックしてくれる
    ブログ内の関連記事(新しいウィンドウで開きます)

    個人情報を盗んだり、ウイルスを感染させようする詐欺メール(フィッシングメール)や詐欺SMS(スミッシング)、そして「SNSのメッセンジャーで友達から届く詐欺動画」など、あなたをだますメッセージが毎日たくさん飛んできます。変な日本語もなく[…]

 

 

「私のスマホやパソコンがハッキング、感染しているかも、、」本当にハッキングされているか確実に調べる方法は?

ネット上のデマや悪質業者の広告を信じてはいけない!

当ブログでご説明しているとおり、スマホやパソコンに突然現れる「ハッキングやウイルスの警告」は広告目的の詐欺警告がほとんどです。

しかし、まれとは言え、時には「不正なアプリをインストールされた」「アカウントを乗っ取られた」などが原因で本当にハッキングされることもあります。

本当にハッキングされているかも、、」とどうしても心配なときは、ハッキングやウイルス感染などの調査を行っている専門会社に調査を依頼しましょう。

しかし、ネットで調べると、ハッキング調査を探偵や興信所が行っているところが見つかりますが、パソコンやスマホのセキュリティが強化されている現在、ログ解析などのハッキング調査は高度な技術と実績を持つ専門家しかできません。

より正確な情報を安全に調べるには、ハッキング調査の専門業者に相談しましょう。

おすすめのハッキング調査会社:デジタルデータフォレンジック

デジタルキーパーも貴重な情報を提供いただいている「デジタルデータソリューション株式会社 の《デジタルデータフォレンジック》」は、官公庁、警察・捜査機関からの信頼も厚い、国内随一の高い技術と実績を持つサービスです。

累計の相談件数は1万4,000件以上。国内売上11年連続No.1のデータ復旧技術を利用して、デジタル遺品の調査・データ抽出を受け付けています。

相談~調査の見積もりまでは無料で対応してくれるので、まずは一度相談してみるとよいのではないでしょうか。

「※本サイトはアフィリエイト広告を利用しています。」

おすすめの調査会社:デジタルデータフォレンジック

トロイの木馬の感染調査、マルウェア感染調査の専門業者への依頼はこちら