最近自分のパスワードがタイトルに貼り付けられたスパムメールがよくくることはないだろうか? HaveIBeenPawned ( https://haveibeenpwned.com/ 以下 HIBP ) によると、約5億件のパスワードは流出済みであるとされている。方や問い合わせフォームの SSL 化をしていなかったり、電子メールでパスワードを平文で平然と送ってくるようなウェブサイトは依然として存在するのが現実だ。
HIBP では email と漏洩したパスワードの Hash 値を開示している。(公開されることで、よくあるパスワードの Hash とは容易に同一比較できてしまうし、同じ Hash をとる email は同じパスワードを使っていることもわかってしまいリスク要素ではあるのだが・・・) このため、github のように ( New improvements and best practices for account security and recoverability | The GitHub Blog ) 各サービスプロバイダは、エンドユーザーが入力したパスワードが漏洩済みのものかどうか推測し、警告することができる。Web サービスの企画・開発に携わる方はこのような施策をセキュリティ強化のために検討されるのも良いかもしれない。HIBP は API を公開しており、また github では内部的に同じような API を作成しているようである。
Using this data, GitHub created an internal version of this service so that we can validate whether a user’s password has been found in any publicly available sets of breach data.
どこで流出したか?
HIBP の Have I Been Pwned: Pwned websites をみると、日本でも関係しそうなのは下記の通り。パスワードだけでなく、クレジットカードや電話番号なども漏洩しているケースがある。有名所が多くリストされており、改めて影響範囲の大きさがわかる。
用語
- 「ブリーチされた "bleech"」とは、脆弱性を突かれてパスワードなどを抜かれたことを指す。
- 「ペースト ( "paste" )」とは、PasteBin のようなデータ貼り付けサイトにパスワードなどの文字列を貼り付けられたことを指す。HIBP では定期的に巡回している。https://twitter.com/dumpmon では、貼り付けられたとを検知したら tweet している。
- 「漏洩したパスワード ("compromised")」とは、すでに漏洩が報告されたパスワードを利用していることがわかっていること。
