全2161文字

流出したかどうかを調べる

 自分の認証情報は過去に流出したことがあるのか。気になる人は、セキュリティー専門家であるトロイ・ハント氏が個人で運営する「Have I Been Pwned?(HIBP)」というサイトを試してみよう。このサイトには112億件もの流出した認証情報が登録されている。

 試しに筆者が以前使っていたメールアドレスをHIBPに入力したところ、「Oh no - pwned!」と表示されてしまった。これは、HIBPに登録されたデータに入力したメールアドレスが含まれていることを意味する。

過去に流出したメールアドレスを「Have I Been Pwned?」に入力したときの結果。画面内のメールアドレスはダミー
過去に流出したメールアドレスを「Have I Been Pwned?」に入力したときの結果。画面内のメールアドレスはダミー
出所:Have I Been Pwned?(https://haveibeenpwned.com/)
[画像のクリックで拡大表示]

 ただメールアドレスが含まれていただけで、メールアドレスと共にパスワードが流出したと確定したわけではない。流出した可能性があると分かるだけだ。

 HIBPでは流出したデータにパスワードが含まれているかどうかも確認できる。もし入力したパスワードが流出データに含まれていたとしても、パスワードに対応するメールアドレスが分からないため、偶然同じパスワードを設定していた別の利用者のアカウントである可能性もある。

 流出したかどうかを確認するところまではできないが、参考にはなるだろう。

パスワード以外の認証を利用しよう

 最後に、なりすましによる不正ログインを防ぐための対策を紹介する。

 まず、パスワードの使い回しをしないことだ。そのとき、多くのパスワードを覚えきれないという人はパスワード管理ソフトを使うとよいだろう。自分だけが分かるパスワードのヒントを手帳に書き残しておくのも手だ。

 次に、サービスで設定したパスワードが短かったり、単純な文字列だったりした場合は複雑なものに変更しよう。当初は短いパスワードしか設定できなかったが、今なら長いパスワードを設定できるというサービスがあるからだ。

 最後に、2段階認証やSMS認証など、パスワード以外で認証する仕組みを用意したサービスではこれらを積極的に利用しよう。そうすれば、仮にIDとパスワードを犯罪者に知られてしまったとしても不正ログインを防げる。

 この3つの対策を実践することで、セキュリティーレベルは格段に上がる。

粕淵 卓(かすぶち たかし)
情報処理安全確保支援士、技術士(情報工学)、CISSP。セキュリティーエンジニアとして働きながら、ネットワークおよびセキュリティー関連の記事執筆(日経NETWORKやINTERNET Watchなど)や講演に携わる。難しいセキュリティーをクイズ形式で楽しく学べる「WEST-SEC CTF」を主宰。