メールアドレス流出の確認
さっそく表題に関する方法に入りますが、利用するのは、メールアドレス流出を確認できる「Have I Been Pwned?」というサイトです。このサイトには、過去にメールアドレス流出を起こしたオンラインサービスデータが登録されています。従って、自分のメールアドレスを入力してみれば、漏えいの有無をチェックできるのです。
このサイトをMicrosoftの地方支配人で、セキュリティ開発者としてMVPも受賞したことがある人物です。誰でも自分の保有アカウントの危険性確認を無料で簡単にチェックできるようにと作成したそうです。
FAQにも説明がありますが、「Have I been pwned?」には、「ブリーチ」情報が保存されています。「ブリーチ」とは、ソフトウェアの脆弱性を突いたハッカーが不法に得た情報のことで、全てウェブサイトから公に流れでた情報となっているそうです。サイト上の情報はユーザー名とメールアドレスで、パスワードは保存されていません。闇サイトで流通している情報を使っているので、実際に漏えいがあったサービス運営者が公表した数字より正確な流出情報といえるはずです。
使い方ですが、まず「Have I been pwned?」ページを開き、画面中央に検索ボックスにメールアドレスを入力します。そして[pwned?]ボタンをクリックすれば操作完了です。
漏えいしていない場合には、「Good news ? no pwnage found!」とメッセージが表示され、漏えいしている場合は、「Oh no ? pwned!」というメッセージが表示され、流出元の企業名、インシデント詳細、また、メールアドレス以外に漏洩した恐れのある個人情報の項目(氏名、ユーザー名、パスワードのヒントなど)も表示されます。漏えいがあったら、すぐにパスワードを変更しましょう。