個人情報が漏洩しているか確認する方法、おすすめツールについて徹底解説

ITにより企業活動が大幅に効率化されましたが、それに伴い個人情報などの重要情報がデータベース化され、情報漏洩のリスクも大きくなりました。個人情報漏洩の事件は毎日のように報道され、流出させてしまった企業はその度に非難されますが、個人情報漏洩に対する決定的な対策方法は未だ存在しないように思えます。

インターネットを使ったWebサービスはIDとパスワードにより個人を識別していますが、この2つの情報が漏洩するだけで、SNSが乗っ取られたり、メールが盗聴されたりするなどの被害にあう可能性があります。

自分が使用しているメールアドレスやパスワードなどの個人情報が漏洩しているかどうか、確認するためのツールがあります。今回は個人情報が漏洩しているか確認する方法を紹介するとともに、漏洩していた時の対策方法と、もし漏洩していなくても行うべき対策方法について紹介します。

個人情報漏洩の現状

日本ネットワークセキュリティ協会(JNSA)による「2018年情報セキュリティインシデントに関する調査報告書」によると、2018年の個人情報が漏洩した人数は、561万3797人で、インシデント件数は443件だったそうです。想定される賠償金額総額は2684億5732万円にも達しています。

個人情報漏洩の原因としては、第1位は「紛失・置忘れ」、第2位は「誤操作」、第3位が「不正アクセス」であると発表されています。個人情報漏洩というと、不正アクセスなどの外部からの攻撃を連想しがちですが、実際には紛失や置忘れ、誤操作などヒューマンエラーによる個人情報漏洩の方が多いことがわかります。

コンピュータで管理されている個人情報はデジタルデータであり、複製やコピーが簡単に行えます。そのため、もし漏洩が発生してしまったら、情報の完全な回収は不可能です。

個人情報が漏洩しているか確認する方法

FacebookなどのSNSやDropboxなどのWebサービスで使用しているアカウント(メールアドレス)とパスワードが漏洩しているかどうか、チェックしてくれるWebサイトやソフトウェアがあります。ここでは「Have I Been Pwned」「Firefox Monitor」「ノートン ダークウェブ モニタリング」の3つについて紹介します。

Have I Been Pwned

Have I Been Pwned」はメールアドレスを入力するだけで、個人情報やパスワードが流出したかどうか確認できるWebサイトです。

サイトHave I Been Pwned

「Pwned」とはネットスラングで、本来は「Owned」とつづるそうです。日本語にすると「やられた」「完敗した」などの意味になります。ちなみに「Have I Been Pwned」はセキュリティ研究者であるトロイ・ハント氏(Troy Hunt)が運営しているサイトです。トロイ・ハント氏はMicrosoft MVPの受賞経験もある立派な技術者です。

「Have I Been Pwned」のサイトで公開している、情報漏洩が明らかになったサイト数は2019年7月現在で387サイトであり、漏洩されたアカウント数は約82億件です。世界規模で見ると、膨大な件数の情報漏洩が起きてしまったことがわかります。

トップページにメールアドレスを入力する欄があるので、ここに自分のメールアドレスを入力します。

メールアドレスを入力して「pwned?」のボタンをクリックしましょう。もしメールアドレスに対応するパスワード情報が漏洩していると、以下のような画面になります。


「Oh no – pwned!」のメッセージと共に、情報漏洩しているWebサイトと、どのような情報が漏洩しているのか表示されます。

もし何も情報が漏洩していなかったら、以下のようなメッセージが表示されます。

「Good news – no pwnage found!」のメッセージが表示されます。これは入力したメールアドレスに関連するパスワードなどの情報が漏洩していないことを表しています。

漏洩した情報のデータベースは随時更新されており、流出件数や規模、そして流出元のサイトも公開されています。「Who's been pwned」のメニューをクリックすると、実際にどのサイトから情報漏洩が発生したのか確認できます。その中にはAdobeやDropboxなど有名なWebサービスも含まれています。

Pwned Passwords(Have I Been Pwned)

「Have I Been Pwned」にはパスワードが流出しているかどうか確認できるページもあります。


サイトPwned Passwords

「password」の入力欄に調査したいパスワードを入力します。もし入力されたパスワードが漏洩していると、以下のようなメッセージが表示されます。

「Oh no – pwned」のメッセージに続き「This password has been seen 4 times before」と表示されています。先ほど入力したパスワードは過去4回も情報漏洩していたようです。

試しにパスワードとして「123456」と入力してみた結果が以下の通りです。

パスワード「123456」は2300万回も情報漏洩していたようです。実際にこのような単純な文字列をパスワードとして使っている人がいることに驚きを禁じえません。

Firefox Monitor

「Have I Been Pwned」のようなサイトを日本語で公開しているサイトもあります。それが「Firefox Monitor」です。

サイトFirefox Monitor

「Have I Been Pwned」と同様にメールアドレスを入力して、それに関連する個人情報があるかどうか調査するサイトです。日本語に完全対応しているため、日本人にとってはこちらの方が使いやすいでしょう。

メールアドレスを入力して「データ侵害を確認する」をクリックすると、メールアドレスに関連した個人情報が漏洩しているかどうか確認できます。

このように完全に日本語で表示されます。ちなみにFirefox Monitorでは、先ほど紹介した「Have I Been Pwned」のデータベースから情報を取得しています。

ちなみに入力したメールアドレスに関する情報漏洩が無かった場合は、上のように「0個の既知のデータ侵害があります」と表示されます。この状態でしたら安心です。

ノートン ダークウェブ モニタリング

サイトノートン ダークウェブ モニタリング

「ノートン」の愛称で有名なセキュリティ対策ソフトを販売しているシマンテックが、これまでになかったセキュリティ対策ソフトを公開しました。それが「ノートン ダークウェブ モニタリング」です。

このソフトはその名の通り「ダークウェブ」を「モニタリング」するためのソフトウェアです。ダークウェブとはインターネットの中でも通常のWebブラウザではアクセスできない領域の部分を指した言葉です。Googleなどの検索エンジンにもヒットせず、データは全て暗号化されています。

このような性質から、ダークウェブ内では不正アクセスにより入手した個人情報やクレジットカード番号情報などの売買が行われています。

「ノートン ダークウェブ モニタリング」は、自分の個人情報がダークウェブ上で公開されているかどうか確認するためのソフトウェアです。価格は税別で1年1台版で2,780円、2年1台版が5,560円、3年1台版が8,340円です。対応OSはWindows、Max OS X、Android、iOSの4つです。

「ノートン ダークウェブ モニタリング」で検出できる個人情報は、「メールアドレス」「クレジットカード番号」「住所」「電話番号」「保険証番号」「銀行口座番号」「運転免許証番号」の7種類です。ユーザー名やパスワードには対応していないため注意が必要です。

「ノートン ダークウェブ モニタリング」はあくまでもダークウェブ上に自分の個人情報が漏洩されているかどうか確認をし、もし情報漏洩があった場合に通知を出して、対処を促すためのソフトウェアです。ダークウェブへの情報漏洩を防止するようなものではありません。

もし情報漏洩が確認された場合、メールが届き、対処法のアドバイスなどが表示されます。そのため被害が発生する前に対策を取ることもできます。

個人情報が漏洩していた場合の対応

これまで紹介してきたWebサイトでメールアドレスを調査して、パスワードなどの情報が漏洩していた、あるいは別の何らかの方法で個人情報の漏洩が確認できた場合、以下で紹介する方法で対応しましょう。

メールアドレスやパスワードの変更

Webサイトのログインに使用しているメールアドレスやパスワードを変更しましょう。特にパスワードは変更後、厳重に管理することが必要です。

また管理の手間を省く目的で、他のサイトと同じパスワードを設定することは、あまり好ましくありません。漏洩したメールアドレスとパスワードをセットにして攻撃する「パスワードリスト攻撃」の標的になる可能性があるからです。同一のメールアドレスを使ってWebサービスを使用する場合は、パスワードは必ずユニークな文字列のものを設定しましょう。

不正利用が行われていないか確認

比較的セキュリティ対策がしっかりしているWebサービスの場合、ログイン履歴を公開しているものがあります。例えばGmailでは「アカウントのアクティビティ」のページで、「ログインしたブラウザ・アプリ」「ログインしたIPアドレス」「ログイン日時」を表示させることができます。

もし自分のアクセスではない第三者のアクセスを検知したら「他のすべてのGmailのウェブセッションからログアウトする」をクリックすることで、強制的にすべての端末においてGmailからログアウトさせることが可能です。

関連機関へ連絡(クレジットカード会社やサービス運営企業等)

漏洩した情報が、もしクレジットカード番号やWebサービスのログイン情報だった場合は、すぐに関連機関へ連絡を取りましょう。クレジットカード番号の場合、身に覚えのない請求が届いた場合は、すぐにカード会社に連絡を取ることが重要です。

また最近ではクレジットカード番号の情報漏洩が発覚すると、すぐにニュースサイトなどで報道されるケースが多くなっています。もし自分が使っているWebサービスにてクレジットカード番号の情報漏洩の報道を確認しても、まずは落ち着いて対処しましょう。報道されている時点で、流出したクレジットカード番号は無効になっているはずなので、あわてる必要はありませ

情報が漏洩していなくても行うべき対策

ここで紹介した方法で個人情報の漏洩が確認した結果、漏洩していなかった場合においても、普段から以下のような対策を行うことが重要です。

OSやソフトウェアのアップデート

WindowsやMax OSなどのOSやMS Officeなどのアプリケーションソフトウェアの定期的なアップデートを欠かさないようにしましょう。ソフトウェアには脆弱性が付き物であり、開発者は脆弱性を発見次第、すぐに修正を行い、最新版のソフトウェアを公開しています。

特に脆弱性の発見から開発者による修正のタイムラグを利用して攻撃する「ゼロデイ攻撃」による被害は深刻です。少しでも無防備な状態を短くするためにも、使用しているOSやソフトウェアのバージョンアップ情報を定期的にチェックし、常に最新のバージョンのソフトウェアを使用することが重要です。

セキュリティ対策ソフトの導入

マルウェアの中にはパソコンに保存されている個人情報などが含まれたファイルを、インターネット経由で外部に流出させるようなものがあります。

また、キーロガーと呼ばれるマルウェアもあります。これはパソコンユーザーのキーボードの入力履歴を記録するタイプのマルウェアです。これにより、キーボードで入力されたパスワードが記録され外部に送信される可能性があります。

ID・パスワードの工夫

日常的に使うIDやパスワードに工夫をして管理するのもおすすめです。現在は様々なWebサイトがIDやパスワードによるログイン機能を設けていますが、それぞれのサイトで別々のパスワードを設定するのは、大変ですし記憶するのも難しいでしょう。

パスワードを設定する時に使えるちょっとしたテクニックを紹介します。例えばパスワードとしてベースとなる文字列を1つ決めて、ログインするWebサイト別に特定の文字列を追加してパスワードとして利用する方法です。

例えば、ベースとなる文字列が「abcdefg」とした場合、Twitterなら「_tw」、facebookなら「_fb」のようにWebサービスの略語を追加して使うのです。この場合、Twitterのパスワードは「abcdefg_tw」となり、facebookなら「abcdefg_fb」となります。考え方としては少し安易な気がしますが、パスワードリスト攻撃のような機械的な攻撃に対しては有効に働きます。

これと同じような方法がGmailのメールアドレスでも使えます。Gmailではアカウント名に「+」を付けて追加した文字列を、文字列を追加していないアカウント名と同じように扱います。例えば、

emailaddr@gmail.com
emailaddr+fb@gmail.com
emailaddr+tw@gmail.com

このようにアカウント名の後半に「+fb」や「+tw」を付けたメールアドレスを使用しても、実際には「emailaddr@gmail.com」のアカウントとして処理され、このメールアドレスにメールが届きます。つまり「+」の後にログインするWebサイト別のユニークな文字列を設定することで、メールアドレスもWebサイトごとに使い分けることができるのです。

例えば仮にTwitterから情報が漏洩した場合、対応するメールアドレスとして「emailaddr+tw@gmail.com」を使用していれば、すぐにTwitterから個人情報が漏洩したことが分かるようになります。これはGmail限定の仕様ですが、このような方法でメールアドレスを使い分けるのも一つの方法です。

まとめ

個人情報漏洩の確認方法と、漏洩に向けた様々な対策について紹介してきました。

生活をより豊かに、より便利にするためにインターネットは欠かせない技術になっています。そのために個人情報をインターネット上に保存する必要がありますが、ずさんな管理をしている企業が多いのは確かなようです。まずは自分で信用できる企業にだけ個人情報を預け、万が一の場合、自分自身で適切な対処をするというのが、最善策ということになりそうです。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?