データストレージサービスを提供するDropbox(ドロップボックス)は8月31日、6800万人のアカウント情報が2012年に流出していたことを同社の公式ブログで明らかにした。流出したアカウント情報は、Dropboxユーザーのメールアドレスとハッシュ化されたパスワードという。
同社によると、流出情報による不正アクセスは確認されていないが、影響を受けたと思われるユーザーにパスワードの再設定を求めるメールを送っているほか、流出情報にメールアドレスがあるため、迷惑メールやフィッシング詐欺に注意するよう呼び掛けている。
不正アクセスなどによる情報漏えいや、その二次被害のニュースが後を絶たない。一見安心できるように思えるサイトでも漏えい事件は起きており、自ら危険から身を守る方法を知っておく必要がある。メールアドレスの流出をチェックできるサイトの使い方やパスワード管理の注意点などについて、ウイルス対策に詳しいエンジニアの齋藤実氏がAll Aboutで以下のように解説している。
**********
メールアドレス流出を確認できるサイト「Have I Been Pwned?」
齋藤氏によると、自分のメールアドレスが漏洩していないかチェックできるWebサイト「Have I Been Pwned?」が話題になっていると紹介している。このサイトは過去にメールアドレス流出を起こしたオンラインサービスのデータが登録されていて、自分のメールアドレスを入力することで漏えいの有無をチェックすることができるという。
「Have I Been Pwned?」は闇サイトで流通している情報を上げているので、漏えいがあったサービスの運営側が公表する数字よりも正確に近い流出情報といえると齋藤氏は述べている。
サイトの使い方は、サイトのトップページで、メールアドレス(またはID)を入力して「Pwned?」をクリックするだけという。実際に、齋藤氏はこのサイトで自身のメールアドレスをチェックしたところ、パスワードが流出していることがわかったという。齋藤氏は「漏えいがわかったら、すぐにパスワードを変更しましょう」と述べている。
斎藤氏は、注意点として、「Have I Been Pwned?」のサービスではすべてのパスワード流出事件を網羅しているわけではなく、同サービス運営側で入手できた情報に限られているため、「もしセーフの判定でも油断だけは禁物」としている。
パスワードの使い回しはNG
斎藤氏によると、知らないところで流出したパスワードがリスト化され、不正アクセスに悪用され、金銭被害も起きているという。
斎藤氏は、ユーザーができる対策として、まず、パスワードを使い回すのは危険と述べている。Webサービスごとに別々のパスワードを設ける必要があると同時に、推測可能な弱いパスワードを使わない(意味を持たないランダムな大小英数字及び記号のパスワードを使う)ことも大切と齋藤氏は説明する。
またパスワードを使うデバイスにはウイルス対策ソフトを使い、パスワード詐取を目的とした偽サイト(フィッシング詐欺)にも注意してほしいと齋藤氏は述べている。
一方で、数多くの複雑なパスワードを覚えることは現実的ではないとも齋藤氏は指摘しており、パスワード管理ソフトやエクセルなどを活用することを勧めている。自分に合った、作業ミスのない方法を選択するのがポイントだ。
パスワードの他に、セキュリティサービスが提供されている場合もある。たとえば、いつもと違うデバイスからログインがあると登録したアドレスにメールが届くといったサービスがあり、万が一の不正アクセスに備えて、このようなサービスをしっかりと活用してほしいと齋藤氏は述べている。
【関連リンク】
