全2350文字
PR

 Webサービスからの情報漏洩事故が相次ぐなか、自分のメールアドレスやパスワードが漏洩していないかを調べられるサービスの人気が高まっている。最も有名なサービスの1つが「Have I Been Pwned?(HIBP)」だ。セキュリティー研究者のトロイ・ハント氏が個人で運営している。

Have I Been Pwned?(HIBP)の画面
Have I Been Pwned?(HIBP)の画面
(出所:Have I Been Pwned?)
[画像のクリックで拡大表示]

 2019年になるとHIBPへのアクセスや問い合わせが急増した。そこでハント氏は個人では運営し切れなくなったとして、2019年6月に売却したい旨を表明。売却先の募集に対し、141社が名乗りを上げた。

 ところが一転、ハント氏は今後も個人で運営すると2020年3月3日に明らかにした。一体、何が起こったのだろうか。

「Collection #1」で大ブレーク

 ハント氏はHIBPに自身がネットなどで集めた膨大な漏洩データを登録している。その数、2020年3月8日時点で95億4000万件以上。この中に、自分のメールアドレスやパスワードが含まれていないかを調べられるのだ。

 使い方は簡単だ。例えばメールアドレスなら、HIBPのトップページ(https://haveibeenpwned.com/)にアクセスして、調べたいメールアドレスを入力するだけ。「pwned?」と書いてあるボタンをクリックして「Oh no ― pwned!」と表示されれば、そのメールアドレスは漏洩データに含まれる。

 あらかじめメールアドレスを登録しておいて、そのメールアドレスが漏洩したらメールで知らせてくれるサービスなどもある。

 HIBPはハント氏が2013年12月に立ち上げた。運営資金の寄付を募っているものの、基本的には無料のサービスである。以前からセキュリティー研究者などが愛用する、知る人ぞ知るサービスだったが、2019年に広く知られるようになった。きっかけは「Collection #1」の事件である。

 ハント氏は2019年1月、7億7000万件のメールアドレスと2000万件のパスワードが、クラウドストレージサービス「MEGA」で公開されていたと自身のブログで発表した。公開されていたデータは階層構造で、最上位のフォルダー(ルートフォルダー)の名称が「Collection #1」だったため、このときの漏洩データは「Collection #1」と呼ばれるようになった。

 ハント氏はCollection #1発見の事実とともに、HIBPを使えば自分のアカウントが漏洩しているかを調べられるようにしたと発表した。これによりHIBPへのアクセスが増えた。

 ハント氏が自身のブログで公開したGoogleアナリティクスのグラフを見ると、Collection #1を公表した2019年1月17日の直後にアクセス数が急増していると分かる。ハント氏によると、通常は1日当たり15万人がHIBPにアクセスし、多いときには1000万人に上ったという。

HIBPへのアクセス数の推移(2019年1月まで)
HIBPへのアクセス数の推移(2019年1月まで)
(出所:トロイ・ハント氏のブログ)
[画像のクリックで拡大表示]