こんにちは、ゆるいぞITチャンネルです。

今回は自身の個人情報が「インターネット上に流出していないか?」をインターネット上のサービスを使って確認してみたいと思います。

電話番号、メールアドレス、住所、ログインID、パスワード等、こういった個人情報は漏洩すると悪用されてしまう可能性がありますが、それがどの程度インターネット上に流れてしまっているのか見てみたいと思います。

※Youtubeでは動画版をご視聴いただけます。

この記事はこんな人にオススメ
  • ハッキングスキルについて知りたい
  • セキュリティの知識を学習したい
  • ITインフラの知識を学習したい

※実務や演習等を除き、インターネット上のサーバへクラッキングすることは違法行為となりますのでご注意ください。

目次 [ close ]
  1. 1.今回検索に使う情報
  2. 2.流出しているかの確認方法
    1. Have I Been Pwned(HIBP)
    2. DeHashed(デハッシュド)
    3. Intelligence X
  3. 3.最後に

1.今回検索に使う情報

ゆるいぞIT

検索対象とする個人情報が必要になるので、私が普段使っている個人情報(電話番号やメールアドレス等)を検索してみたいと思います。

  • 個人用の携帯番号とメールアドレス

  090-xxxx-xxxx
  xxxxxxxxxx@gmail.com

  • 仕事用の携帯番号とメールアドレス

  090-xxxx-xxxx
  xxxxxxxx@xxxxxxxxx.co.jp

  • よく使うパスワード

  xxxxxxxxxx(アルファベット小文字+数字)
  xxxxxxxxxxxxxx(アルファベット小文字・大文字+記号+数字)

2.流出しているかの確認方法

ゆるいぞIT

個人情報がインターネット上に流出しているかを確認する為には専用の検索エンジンを使用します。

「個人情報の流出をチェックできる検索サイト」というものがあり、過去のインシデント(漏洩事件)・法執行機関からの情報提供・サイト独自の調査などの情報をもとに対象の個人情報が流出しているかを判断する仕組みになっています。

今回はそういったサイト中から有名どころをいくつかピックアップして試してみたいと思います。

Have I Been Pwned(HIBP)

Have I Been Pwned: Check if your email address has been exposed in a data breach
サイトリンク
Have I Been Pwned: Check if your email address has been exposed in a data breach
Have I Been Pwned

このサイトはMicrosoftのトロイ・ハントという方が個人で運営しているサイトになります。

会員登録の必要もなく無料で利用できるサイトで、シンプルな作りで使いやすいサイト構成になっています。

まずは個人用のメールアドレスから試してみましょう。

このように検索にかけて問題がないと「 Good news — no (pwnage) found! 」と結果が表示され、インターネット上に流出は無かったということが分かります。

仕事用のメールアドレスも確認してみましたが、こちらも問題ありませんでした。

情報が流出していると「 oh no – Pwned! 」と結果が表示され、「過去に漏洩があった…」ということと、「漏洩元のサービス」が表示されます。

それでは次に電話番号を検索してみましょう。

海外のサイトなので+81での表記になります。

電話番号についても個人用、仕事用ともに流出はしていませんでした。

次はパスワードを検索してみましょう。

一つ目のパスワードを検索してみたところ「 Oh no — pwned! 」ということで「これまでに19回使用された…」という結果になりました。

※複数人が同一のパスワードを使用している可能性もあるので、必ずしも自分のアカウントで使用されたという訳ではありません。

検索対象として使ったパスワードは”アルファベットの小文字”と”数字”しか含めていない比較的簡単な組み合わせのパスフレーズでした。

やはり安易なパスワードというのはセキュリティ上良くないということですね…

二つ目のパスワードは検索したところ問題ありませんでした。

これはアルファベットの大文字/小文字、数字、記号を組み合わせたランダムなパスフレーズでした。

このサイトのデータベース上では検索に引っかからなかったというだけなので必ずしも安全という訳ではありませんが、より強固なものにした方が使用される確率は低くなるということですね。

何の情報を元に判断しているのか?
ダークウェブのクローリング、FBI・警察などの法執行機関からの情報提供、過去のインシデント(情報漏洩事件)がチェックする情報元になっているようです。
“Who’s been pwned”のページには過去インシデントの一覧が掲載されています。

検索する以外にもサイトのサービスとしては下記のようなものがあります。

  • メールアドレスを登録しておくことで情報漏洩が発生した際に通知するサービス
  • ドメイン全体を検索して通知するサービス
  • APIでの連携 ※APIキーの払い出しは有料

ドメイン検索とは…
例えば、「xxxxxx@yuruizo.co.jp」というメールアドレスがあったとしたら「yuruizo.co.jp」がドメインと言われる部分になります。
「yuruizo.co.jp」で網を張っておき、流出が確認できたら登録者に通知するというサービスになっています。

トータルでこれだけのサービスを無償で提供しているサイトなので、使う人によってはすごく有益なサイトではないかと思います。

DeHashed(デハッシュド)

DeHashed — #FreeThePassword
サイトリンク
DeHashed — #FreeThePassword
dehashed.com

サイトの大まかなサービスは「Have I Been Pwned」と同じような内容になっています。

主な検索対象としては、メールアドレス・ユーザ名・IPアドレス・名前・住所・電話番号・VIN(車両識別番号)・ドメイン検索となっています。

このように検索できるカテゴリーは他の検索エンジンより多いです。

まずはメールアドレスから検索してみましょう。

検索結果としては、個人用、仕事用ともに過去インシデントからの漏洩は無かったようです。

次は電話番号を検索してみましょう。

こちらも個人用、仕事用ともに流出は無かったようです。

仮に流出していた場合は、対象のインシデントが表示されます。

ただ「Hidden」となっており、詳細を確認するには有償のプランに登録する必要があります。

Intelligence X

サイトリンク
Intelligence X
intelx.io

基本的なサービスは前の二つと同じようなサービス内容になっています。

検索対象は、メールアドレス・ドメイン名・URL・IPアドレスCIDR(IPセグメント)、ビットコイン等となっています。

とりあえずメールアドレスだけ検索してみましょう。

個人用、仕事用ともに流出は無かったようです。

ただ、仕事用のドメインで検索してみたところ「テキストファイル4個、CSV ファイル2個」がヒットしていました…

結果は黒く塗りつぶされており、会員登録すると内容を確認できるようになります。

リーク情報というカテゴリに分類されています。

CSVファイルを確認すると何やら記載してありますが全く心当たりがありません…

3.最後に

ということで、いくつかの検索サイトで確認してみましたが、皆さんの結果はどうだったでしょうか。

もし流出していて検索に引っかかった場合は、既にインターネット上に出回ってしまっているということを念頭においた上で「そのまま使い続けるのか?」、「それとも解約や変更するのか?」という対策を考えた方が良いかもしれません。

フィッシングメールや迷惑メール、SMSでのメッセージ、海外からの謎の着信、そういったものが来る可能性があると認識しておいた方がいいでしょう。

現実的な対策としては「既に悪意のある第三者にバレてしまっている…」ということを頭に入れた上で、普段から注意しておくという対応になるかと思います。

ということで、今回はここまでにしたいと思います。

それではまた次回お会いしましょう!