都度都度取り上げている脅迫スパムは元は漏洩した個人情報リストです。手元に脅迫スパムが来たら相手にしないで情報漏洩のチェックだけしときましょう。
目次
脅迫スパムメールが来たらパスワード漏洩サイトでチェック
日経新聞にも遂にパスワード漏洩チェック「Have i been pwned?」が紹介されるくらい個人情報漏洩というテーマが普遍的になってきました。
まぁ自分のパスワード漏れてないか 一発で分かる、というのもちょっとオーバーな気はしますが・・・このHave i been pwned?(HIBP)は過去漏洩した個人情報やパスワードの情報を元にメールアドレスで該当があるかないかを確認できるサイトです。
このサイトには個人情報漏洩データが345サイト、約90億アカウント分格納されています。
Have I been pwned?で確認できる漏洩データ
サイト名になっている「pwned」なんですが、意味を調べてもちょっとよくわからなかったです。一応ネットスラングのようですね。
pwn は own という単語をわざと打ち間違えたものであり、ネトゲ、オンラインゲーム界隈でよく使用されるネットスラング。
own は動詞として「所有する」という意味の他に、「~に勝つ」という意味もある。pwn はこの「~に勝つ」という意味で使用され、特に「圧勝する、完勝する、ボコボコにする」など、対戦相手を圧倒するという意味合いで使用される。
解説を見る感じから考えると、「Have i been pwned?」は大枠「私はやられてますか?」的な意味だと思います。
さて、意味はさておきこのHave i been pwned?に格納されているデータはフッタの方に記載があります。
左のLargest breachesは流出データの影響度高い順で、上位はサイトからの流出というより闇流通している個人情報リスト的なもののようです。そしてmyspaceだったりneteaseだったり、LinedIn、Adobe・・・とサイト別の流出件数が続きます。
右のRecently breachesを見ると、アンダーアーマーも流出あったんですね。写真共有サイトのEyeEmもかぁ・・・。
けどこうやって見てみると、昨年末のマリオットホテルグループの5億人分の漏洩だったり、国内の宅ふぁいる便の漏洩はデータとしてなさそうです。
とはいえ、今使っているメールアドレスが過去漏洩したものかどうかを知っておくことは悪いことではないのでチェックしておくのは重要です。こういった漏洩データを利用して脅迫スパムは送られています。
実際に2つのメールアドレスでチェック
実際に普段使いのメールアドレス2つでこのHave i been pwned?でチェックしてみました。
あまり広範囲で使っていないメールアドレス
こちらはあまり広範囲で使っていないメールアドレスでのテスト結果。使ってないとはいえ、いくつかのSNSなどでは登録しているメールアドレスです。
「Good news — no pwnage found!」というメッセージが表示されました。一応安心、というところでしょうか。
メインで使っているアドレス
こちらはメインで使っているアドレス。「Oh no — pwned!」と出ました。流出が確認された場合はこの下に該当があった流出リストが表示されます。
チェックしてみると・・・2013年のAdobe流出、2016年に発見された裏リスト、2018年のApollo、2016年のExloit.In、2018年のEyeEm、2016年のLinkedIn、2013年のTumblr.で流出が確認されました。
このうちApollo以外はパスワードを変える、アカウント削除する、などですでに対応済みです。Apolloって・・・なんだろう?
こういうことが発見できるだけでもチェックの価値はありますね。何らかの形で登録したけど本人が忘れている、ということなので。
