インターネット上のサービスのアカウントとして使用している「メールアドレス」が流出しているかどうかを確認できるサイトがあると聞きました。どんなものか教えてください。(不動産業)

 インスタグラムやドロップボックスなどのネットサービスのアカウントとして使っているメールアドレスやパスワードが流出していないか──。これは多くの人が気になるところでしょう。サイバー犯罪の被害に合わないためにも、自分のメールアドレスやパスワードが流出していないかどうかを見極め、もし流出していたとしたらすぐにパスワードを変更するといった対処が必要になります。

 自分のメールアドレス・パスワードが流出していないかどうかを調べるのに便利なのが、「Have I been pwned?」というウェブサイトです。

 使い方は簡単で、トップページ(Home)にある空欄部分にメールアドレスを入力し、「pwned?」のボタンをクリックすると、すぐに結果が表示されます。「Good news ─no pwnage found!」というメッセージが表示されればセーフ。「Oh no ─pwned!」というメッセージが出た場合は、残念ながら流出しているということです。過去にドロップボックスやアドビ(adobe)、などのウェブサービスがハッキングされて情報が流出した際に、自分のアカウント(メールアドレス)もそこに含まれていたことを意味します。

 ちなみに“pwned”というのは、“owned”という言葉から派生したネットスラングで、キーボードでoとpを間違えて入力しやすいことから、「やられた」といった意味合いがあります。

 注意が必要なのは、このサービスではあくまで過去に流出した累計51億個の流出アカウントをもとにセーフかアウトかを判断しており、すべてのパスワード流出事件を網羅しているわけではない点です。セーフという判定が出たとしても、それはあくまで「Have I been pwned?」の運営者が集めた流出アカウントの中に含まれていなかっただけということなのです。それでも一定の目安にはなるので、このサイトを用いてメールアドレスが流出していないかを定期的に確かめておくとよいでしょう。

パスワード設定の注意点

 ほかにも「Have I been pwned?」のサイトでは、「Password」の画面でパスワードの流出確認も行うことができます。例えば、「aiueo(あいうえお)」というパスワードでは699件、「yamada(山田)」というパスワードでは2880件の流出が確認されます(6月現在)。サイバー犯罪の被害にあわないためにも、流出件数の多いパスワードはあまり使用しないほうが無難です。

 また、複数のサービスで同じパスワードを使い回すことは危険なので避けるべきです。例えばドロップボックス(Dropbox)なら、いつものパスワードの頭に「Db」を付けるといったルールを決めておくと、複数のパスワードを管理しやすくなります。以前はよくパスワードは定期的に変更したほうがいいと言われていましたが、いまは「定期的な変更は不要」とされています。頻繁に変更しているとどうしてもパスワードがパターン化して、どんどん簡単なものになっていくからです。この点もぜひ覚えておいてください。

掲載:『戦略経営者』2018年8月号