無料会員登録
個人情報には、氏名、住所、電話番号、生年月日、顔写真、クレジットカード番号、銀行口座番号、メールアドレスなど、多種多様な情報が含まれます。
企業が扱う情報量が増える一方で、情報漏洩のリスクも増大しています。漏洩した情報はダークウェブ上で取引されることもあり、世界中から個人情報を見られる可能性もあります。
ダークウェブなどに個人情報が漏洩していないかを確認するための方法は、大きく2つに分けられます。1つ目は自身でツールを使用して調査する方法、2つ目は専門の調査会社に依頼する方法です。
本文では、これら2つの調査方法について紹介します。さらに、漏洩時の対処方法や、漏洩を防ぐための予防策についても詳しく解説します。
個人情報漏洩をツールを使用して確認する方法
ここでは個人情報が漏洩していないかを確認するツールについて説明します。
たとえばFacebookなどのSNSやDropboxなどのWebサービスで使用しているアカウント(メールアドレス)とパスワードが漏洩しているかどうか、チェックしてくれるWebサイトやソフトウェアがあります。ここでは「Have I Been Pwned」「Firefox Monitor」「ノートン ダークウェブ モニタリング」「Google ダークウェブレポート」の4つについて紹介します。
もし、情報漏洩が起きている場合や、情報がどこまで漏れたか調査したい場合は、フォレンジック調査が有効です。以下の記事で、調査ができる会社をまとめています。
Have I Been Pwned
「Have I Been Pwned」はメールアドレスを入力するだけで、個人情報やパスワードが流出したかどうか確認できるWebサイトです。
「Pwned」とはネットスラングで、本来は「Owned」とつづるそうです。日本語にすると「やられた」「完敗した」などの意味になります。ちなみに「Have I Been Pwned」はセキュリティ研究者であるトロイ・ハント氏(Troy Hunt)が運営しているサイトです。トロイ・ハント氏はMicrosoft MVPの受賞経験もある立派な技術者です。
「Have I Been Pwned」のサイトで公開している、情報漏洩が明らかになったサイト数は2019年7月現在で387サイトであり、漏洩されたアカウント数は約82億件です。世界規模で見ると、膨大な件数の情報漏洩が起きてしまったことがわかります。
トップページにメールアドレスを入力する欄があるので、ここに自分のメールアドレスを入力します。
メールアドレスを入力して「pwned?」のボタンをクリックしましょう。もしメールアドレスに対応するパスワード情報が漏洩していると、以下のような画面になります。
「Oh no – pwned!」のメッセージと共に、情報漏洩しているWebサイトと、どのような情報が漏洩しているのか表示されます。
もし何も情報が漏洩していなかったら、以下のようなメッセージが表示されます。
「Good news – no pwnage found!」のメッセージが表示されます。これは入力したメールアドレスに関連するパスワードなどの情報が漏洩していないことを表しています。
漏洩した情報のデータベースは随時更新されており、流出件数や規模、そして流出元のサイトも公開されています。「Who’s been pwned」のメニューをクリックすると、実際にどのサイトから情報漏洩が発生したのか確認できます。その中にはAdobeやDropboxなど有名なWebサービスも含まれています。
Pwned Passwords(Have I Been Pwned)
「Have I Been Pwned」にはパスワードが流出しているかどうか確認できるページもあります。
「password」の入力欄に調査したいパスワードを入力します。もし入力されたパスワードが漏洩していると、以下のようなメッセージが表示されます。
「Oh no – pwned」のメッセージに続き「This password has been seen 4 times before」と表示されています。先ほど入力したパスワードは過去4回も情報漏洩していたようです。
試しにパスワードとして「123456」と入力してみた結果が以下の通りです。
パスワード「123456」は2300万回も情報漏洩していたようです。このような単純な文字列をパスワードとして使っている方は、今すぐパスワードを変更するべきだと言えます。
Mozilla Monitor
「Have I Been Pwned」のようなサイトを日本語で公開しているサイトもあります。それが「Firefox Monitor」です。
「Have I Been Pwned」と同様にメールアドレスを入力して、それに関連する個人情報があるかどうか調査するサイトです。日本語に完全対応しているため、日本人にとってはこちらの方が使いやすいでしょう。
メールアドレスを入力して「データ侵害を確認する」をクリックすると、メールアドレスに関連した個人情報が漏洩しているかどうか確認できます。
このように完全に日本語で表示されます。ちなみにFirefox Monitorでは、先ほど紹介した「Have I Been Pwned」のデータベースから情報を取得しています。
ちなみに入力したメールアドレスに関する情報漏洩が無かった場合は、上のように「0個の既知のデータ侵害があります」と表示されます。この状態でしたら安心です。
ノートン ダークウェブ モニタリング
「ノートン」の愛称で有名なセキュリティ対策ソフトを販売しているシマンテックが、これまでになかったセキュリティ対策ソフトを公開しました。それが「ノートン ダークウェブ モニタリング」です。
このソフトはその名の通り「ダークウェブ」を「モニタリング」するためのソフトウェアです。ダークウェブとはインターネットの中でも通常のWebブラウザではアクセスできない領域の部分を指した言葉です。Googleなどの検索エンジンにもヒットせず、通常の方法ではアクセスできません。しかし、このダークウェブ上には犯罪性が高いサイトも存在し、個人情報が不特定多数に閲覧されたり、犯罪者に売買されてしまう場合もあります。
「ノートン ダークウェブ モニタリング」では電子メールアドレスを入力するだけで、個人情報の流出回数や流出時期などを調べられます。
Google ダークウェブレポート
サイトダークウェブレポート
Google ダークウェブレポートは、Google アカウントに関連付けられたメールアドレスなどの個人情報が、ダークウェブ上に漏洩していないかを無料で調査するセキュリティ機能です。
このレポートでは、ユーザーのメールアドレスが漏洩していた場合に、どのウェブサービスから漏れた可能性があるのかを通知し、パスワードの変更や二段階認証の設定など、具体的な対策も提示してくれます。無料版では、自分の Google アカウントに紐づいたメールアドレスのみが対象ですが、有料の Google One に加入すれば、複数のメールアドレスの継続的な監視も可能になります。
利用方法は簡単で、専用ページにアクセスし、スキャンを実行するだけで過去にダークウェブ上で検出されたデータとの照合結果が示されます。
ただし、リアルタイムの監視機能ではないため、最新の漏洩がすぐに検出されるわけではありません。また、漏洩が確認された場合でも、ダークウェブ上で実際に情報が使用されたかどうかまでは特定できない点には注意が必要です。
より詳細な情報が知りたいときは、情報漏洩調査の専門家までご相談ください。
個人情報の漏洩チェックを専門業者に依頼する
サイバー攻撃や社内不正などが原因の情報漏えいの事実を確認する場合、フォレンジックと呼ばれる技術を活用することで、端末やネットワークのログ、マルウェアの感染経路、不正アクセスの形跡などの情報が収集・解析され、情報漏洩がサイバー攻撃や社内不正が原因によるものか詳細に調査することができます。
不安な場合は、情報漏洩調査に対応しているフォレンジック専門業者への相談を検討しましょう。
特に個人情報の漏洩が確認された場合、漏洩した個人情報の流出先や漏洩の範囲を特定し、被害の拡大を防止するため、迅速かつ適切な対応を行う必要があります。
また、個人情報保護法では、個人情報の漏洩が発生した場合、おおよそ3~5日以内に個人情報保護委員会へ具体的な被害を報告することが義務付けられています。
しかし、漏洩した個人情報の流出先や漏洩の範囲を特定するために、コンピューターやネットワークのデータを調査する必要がありますが、自力での調査では、データの読み取りや書き込みを行う過程で、証拠が破損、ないし改ざんが発生する可能性があります。これは、情報漏洩の原因や経緯を特定する上で、重大な障害となります。
個人情報の漏洩を詳しく調査する場合「フォレンジック」調査が有効
個人情報の漏洩が発生した場合、自力での調査ではなく、専門のフォレンジック調査会社に依頼することをおすすめします。フォレンジック調査会社は、豊富な経験と知識を有しており、迅速かつ適切な調査を行うことができます。
フォレンジック調査
ハッキング・不正アクセス・情報漏洩調査に活用される技術として「フォレンジック」というものがあります。これは別名で「デジタル鑑識」とも呼ばれ、スマホやPCなどの記憶媒体、ないしネットワークに残されているログ情報などを調査・解析する際に用いられます。
フォレンジックは、最高裁や警視庁でも法的な捜査方法として取り入れられており、セキュリティ・インシデントの調査において最も有効な調査手法のひとつとなっています。
個人情報漏洩に対応している、おすすめの調査会社
個人情報が流出していた漏洩していた場合、迅速に「被害範囲」「感染経路」「漏洩した情報の範囲」等のインシデントにかかわる情報を調査する必要があります。
情報漏洩について調査する業者には知識のある担当者が在籍しており、詳しい相談内容を聞いてもらうことができます。
ここでは、実績のあるおすすめの調査会社として「デジタルデータフォレンジック」を紹介します。
デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計3万9千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も395件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
| 費用 | ★相談・見積り無料 まずはご相談をおすすめします |
|---|---|
| 調査対象 | デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
| サービス | ●サイバーインシデント調査: マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査 ●社内不正調査: 退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元 ●その他のサービス: パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等 ※法人・個人問わず対応可能 |
| 特長 | ✔官公庁・法人・捜査機関への協力を含む、累計39,000件以上の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査 ※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
| 基本情報 | 運営会社:デジタルデータソリューション株式会社 所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
| 受付時間 | 24時間365日 年中無休で営業(土日・祝日も対応可) ★最短30分でWeb打合せ(無料) |
個人情報が漏洩していた場合の対応
ツールでの個人調査をして、パスワードなどの情報が漏洩していた、あるいは別の方法で個人情報の漏洩が確認できた場合、以下で紹介する方法で対応しましょう。
- メールアドレスやパスワードの変更
- 不正利用が行われていないか確認
- 関連機関へ連絡(クレジットカード会社やサービス運営企業等)する
- 二段階認証を追加する
メールアドレスやパスワードの変更
Webサイトのログインに使用しているメールアドレスやパスワードを変更しましょう。特にパスワードは変更後、厳重に管理することが必要です。
また管理の手間を省く目的で、他のサイトと同じパスワードを設定することは、あまり好ましくありません。漏洩したメールアドレスとパスワードをセットにして攻撃する「パスワードリスト攻撃」の標的になる可能性があるからです。同一のメールアドレスを使ってWebサービスを使用する場合は、パスワードは必ずユニークな文字列のものを設定しましょう。
不正利用が行われていないか確認
比較的セキュリティ対策がしっかりしているWebサービスの場合、ログイン履歴を公開しているものがあります。例えばGmailでは「アカウントのアクティビティ」のページで、「ログインしたブラウザ・アプリ」「ログインしたIPアドレス」「ログイン日時」を表示させることができます。
もし自分のアクセスではない第三者のアクセスを検知したら「他のすべてのGmailのウェブセッションからログアウトする」をクリックすることで、強制的にすべての端末においてGmailからログアウトさせることが可能です。
関連機関へ連絡(クレジットカード会社やサービス運営企業等)する
漏洩した情報が、もしクレジットカード番号やWebサービスのログイン情報だった場合は、すぐに関連機関へ連絡を取りましょう。クレジットカード番号の場合、身に覚えのない請求が届いた場合は、すぐにカード会社に連絡を取ることが重要です。
また最近ではクレジットカード番号の情報漏洩が発覚すると、すぐにニュースサイトなどで報道されるケースが多くなっています。もし自分が使っているWebサービスにてクレジットカード番号の情報漏洩の報道を確認しても、まずは落ち着いて対処しましょう。報道されている時点で、流出したクレジットカード番号は無効になっているはずなので、あわてる必要はありません。
二段階認証を追加する
個人情報の漏えいが判明した場合、まず行うべき対策の一つが二段階認証の追加です。これは、メールアドレスやパスワードといったログイン情報が第三者に知られた状態でも、不正アクセスを防ぐための非常に有効な手段です。
通常のログインは「ID(メールアドレス)」と「パスワード」のみで完了します。しかし漏えいが発生している場合、この組み合わせがすでに攻撃者の手に渡っている可能性があります。そこで、「本人しか持っていない情報(例:スマホに届く認証コードや認証アプリのコード)」を追加で要求するのが二段階認証です。
これにより、たとえ攻撃者がログイン情報を入手しても、物理的にスマートフォンを所持していなければログインは不可能になります。特にGoogleアカウントやSNS、クラウドストレージなど、他の重要サービスとも連携しているアカウントでは、被害の拡大を防ぐために即時の設定が推奨されます。
まとめ
今回は個人情報が漏洩した場合の確認方法について紹介してきました。
個人情報はフィッシング詐欺などのネット詐欺、マルウェア感染などのサイバー攻撃、情報持ち出しなどの社内不正により、意図せず漏洩してしまう場合があります。情報漏えい調査ツールを使用し、ダークウェブ上などに情報が漏洩していないかチェックしましょう。そして情報が漏洩していることが判明した場合、すぐにパスワードを変更し、追加のセキュリティ対策を実施しましょう。被害を受けたのが法人端末の場合や、情報漏洩の証拠を裁判や警察への証拠などに用いたい場合は、専門の調査会社に相談を検討しましょう。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
