haveibeenpwned (HIBP)は、自分のメールアドレスやパスワードが過去の情報漏えいに含まれていないかを確認できるサービスです。運営者はセキュリティ研究者の Troy Hunt、サービス名は Have I Been Pwned です。このサイトは、米国 FBI と協力し検索用のデーターベースを構築しています。また、英国政府とは、危険なパスワードのリストを共同制作するなど、漏洩したパスワードの危険性の啓発を行っています。
パスワードは、クラウドサービスや EC サイト、保険会社や航空会社の会員制サイトなどが攻撃された際や、設定ミスなどで個人情報やメールアドレスと共に漏洩します。実際の漏えい事故が確認されたものが、データーベースに登録されています。
何を調べられるのか?
① メールアドレス
- 過去の 情報漏えい事件 に含まれているか
- どのサービスから漏れたか
- いつ頃の事故か
② パスワード
- そのパスワードが 過去に流出したことがあるか
- 一致結果は 「はい/いいえ」だけ(中身は送信されない)
何故、安全なのか?(パスワード確認の仕組み)
パスワードそのものは送信されない
- パスワードを ハッシュ化(パスワードをそのまま送らず、元に戻せない形に加工する)
- ハッシュ化したデーターの先頭部分だけを Have I Been Pwned に送信
- Have I Been Pwned は、先頭部分が一致したデーターの塊を返信
- 受信したデーターの塊をブラウザーの中で検索し、判定結果を表示
- サーバー側は ハッシュ化したデーターの一部しか知らず、元のパスワードを知ることができない
結果として、入力したパスワードが漏れることはありません。
何が分かって、何が分からない?
分かること
- その情報が 過去に漏れているか
- どの事件に含まれていたか(メール)
分からないこと
- 今も攻撃されているか
- 今後攻撃されるか
- 社内アカウントの状態(AD など)
つまり、「過去の事実確認」ツールです。
Pwned (ポーンド)って何?
「Pwned(ポーンド)」とは、ハッキングされた、侵害された、完全に支配されたという意味を持つインターネットスラングです。この用語は、leetspeak(1337)やハッカー文化に由来し、もともとはコンピューターゲームの世界で「相手を完全に打ち負かした」「支配した」という意味で使われていた owned が語源とされています。
owned をタイプミスした、あるいは意図的に崩した表現としてpwned が使われるようになり、現在では 「自分が被害に遭った」 という意味で広く使われています。
「Have I Been Pwned?」は 「私は過去に情報漏えいや侵害の被害に遭っているか?」という意味になります。
