自分が今どういう状況なのかを知ることは大切です。本日は「自分の情報が流出したか確認する方法」についてです。
こんにちは。猫ITソリューションズ広報の齊藤メイ(♀)です。本日は、「自分の情報が流出したか確認する方法」についてです。今回の記事は情報流出・漏えいが気になるけど調べ方が分からない方にお届けします。
この記事でいう「流出した情報」とは
企業サイトやポータルサイト、ソーシャルメディアサイトに登録してあるIDやパスワード、住所や電話番号など、その他もろもろの情報になります。
これら情報が流出した理由・経緯は様々です。各サイトがハッキングされた、ユーザーのパソコンに直接侵入された、ウイルスに感染した、はたまた中の人の不手際で漏えいした、、、など色々あります。しかし今回は理由や経緯については触れません。あくまで情報流出の事実のみです。
また情報流出元についてですが、日本国内のみ展開している中小サービスは対象外で、海外展開している大手サイトのみになるかと思います。あくまで「今回の調査範囲の限りでは」という結果になります。ただし、今回の調査結果でそれら国内中小サービスからの情報流出は無いとお考えにならないでください。国内中小サービスから流出した情報が巡りめぐって海外に流出する可能性は充分あるからです。
調査方法
調査方法はいくつかありますが、今回ご紹介する方法は「調査サイトで検索するだけ」なので、非常にカンタンです。
Have I Been Pwned
まずは「Have I Been Pwned」を紹介します。モダンなデザインのサイトなので使いやすいと思います。
Have I been pwned? Check if your email has been compromised in a data breach
LeakedSource
次に紹介するのは「LeakedSource」です。逆にアクセスしたことによりハッキングされそうな雰囲気ですね。(ぉぃ
いずれのサイトもユーザー名やメールアドレスなどを入力するだけで調べることができます。
以上です。
結果が表示されましたか?いかがでしたでしょうか?
結果を踏まえて
上述の通り、これらサイトが提示している情報は情報流出の「事実のみ」になります。よって、仮に情報が流出しているという結果が出た場合には「状況整理」と「現状への対策」が必要になります。また結果に関わらず「今後の備え」について今一度考えていただければと思います。
状況整理
情報流出が確認された場合には、慌てず騒がず、まずは状況整理をしてみましょう。
- 情報は流出しているが、これまで悪用されたか分からない
- 情報は流出しているが、これから悪用されるかは分からない
- 情報は流出しているが、その後ログイン情報を変更している
- 情報は流出しているが、その後ログイン情報を変更していない
3をいつ実施したのかが重要です。情報流出が報道されて間もなく変更しており、その後定期的に変更している、というのがベストです。報道については各サイトのプレスリリースやIT系ポータルサイトで確認できますので、まずはそれらを確認してみてください。確認すると、
情報流出日以降のアクセス時にパスワードの変更をお願いしています。
というような事が書かれていることがあります。これはパスワードを変更しないと情報流出日以降の利用はできないというものです。少なくともこれで「情報流出元サイトにおいて」不正アクセスは避けられる訳です。この件を確認できれば多少は不安感もぬぐえるかと思います。
しかし「情報流出元サイトにおいて」という話です。流出したIDとパスワードが情報流出していない他のサイトで使われたら、という事まで情報流出元サイトが責任を負うことはないでしょう。
早急な対策
これ以上被害が拡大しないように、まずは情報流出元サイトで使用していたパスワード、ユーザーID、メールアドレスなどログインに必要な情報を控え、情報流出していないサイトでそれらが使用されていないか確認しましょう。最低でもパスワード+ユーザーID or メールアドレスという組み合わせで他に使用しているサイトが無いようにするべきです。要は「パスワードの使い回しはしないように」ということです。
今後の備え
今回のような「情報流出に備える」という点において、猫ITソリューションズは、
- 情報流出ニュースを日々チェックする
- ID・パスワード管理を自動で行う
という2つの対策を提案します、、、が、おそらく皆さん自分なりの方法で既に行っていることでしょう。
ちなみに最近NIST(米国国立標準技術研究所)の傘下部門であるCSD(Computer Security Division)が米国セキュリティ指針文書(ドラフト版)において「パスワードの定期変更をユーザーに求めるべきではない」と明示しました。
【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ - INTERNET Watch
ただしこれは、
詳細は原文を当たられたいが、パスワードの定期変更では「Password1」といった具合に末尾に数字を追加するなど、その規則性が容易に推測できることなどから、システムはパスワードの定期的な変更をユーザーに要求すべきではないというもの。併せて秘密の質問も使用するべきではないとしており、今後のさまざまな認証システムの開発に多大な影響を与えることは確実だ。
という理由の様なので、逆に言えば「規則性が容易に推測できないパスワードにするなら、パスワードの定期変更をユーザーに求めなくもない」とも読み取れます。
いずれにしてもこれら対策は「正直面倒くさいので、すばやく・楽に・安全にやりたい」がキモになるかと思います。ですので今回挙げる例は、猫ITソリューションズがすばやく・楽に・安全に行うために選んだ例として、参考にしていただければと思います。
情報流出ニュースのチェック
Yahoo!ニュースのテーマ「情報漏えい」は情報取得範囲・更新速度いずれもダントツかと思います。詳しくツッコんだ話は、当然Yahoo!各記事から情報元サイトへのリンクで確認する事ができます。セキュリティー関連のテーマは情報漏えいに限らずたくさんありますので、気になる方は他も探してフォローするのも良いでしょう。
情報漏えいの関連ニュース一覧 - Yahoo!ニュース
「セキュリティー」の検索結果 - Yahoo!ニュース
テーマ・フォローの使い方ガイド - Yahoo!ニュース
猫ITソリューションズでは、朝の始業時のメールチェックとニュースチェック時に見ることにしています。PCならブックマークで、スマホならアプリ「Yahoo!ニュースアプリ」でテーマからすぐに見れて楽チンです。
ID・パスワード管理を自動で行う
Excelやテキストファイルにより手動で管理している方もいらっしゃるかと思います。しかし手動の管理は煩雑で、更に複数端末での利用を考えると管理ファイルを複数作ることにもなりかねず、逆にセキュリティーが甘くなる可能性もあります。LastPass(プレミアム会員:$12/年)はPC・スマホ・タブレットと複数端末・複数プラットフォームで利用される方に特にオススメです。毎年12ドル払う価値があるアプリです。
LastPass
猫ITソリューションズでは、管理はもちろん「安全なパスワードを生成」機能で思い立ったらすぐにパスワード生成→変更をしています。前述のNISTの文書で言う「規則性が容易に推測できることなどから」という問題は、この機能を使えばクリアできるでしょう。
更に猫ITソリューションズでは、
- 主要ブラウザ(IE/Chrome/Safari/Firefox/Opera)対応
- 主要プラットフォーム(Windows/Mac/iOS/Android/Linux)対応
- 無制限登録&同期
という特徴から、Webアプリケーション開発時のテスト入力自動化ツールとしても活用しています。
まとめ
今回、情報流出・漏えいを調査サイトで調べるという方法をご紹介しましたが、記事をお読みになって、セキュリティー対策意識の向上につながってもらえたらうれしいです。McAfeeでは個人情報漏えい危険度チェックをサイト上で実施しています。どこか思い当たる部分があるかもしれませんので、一度チェックしてみることをお勧めします。ちなみにこのMcAfeeのチェックは結果よりも設問内容を確認し自己を戒めることが重要です。私たちも今一度チェックして、色々と思い直してみようかと思います。