あなたの個人情報、ダークウェブで売買されているかも?
ダークウェブレポーーート!!!
なんだか中二っぽい響きがカッコよくて叫んでみました。
この記事を読むメリット
- パスワード使い回しのリスクを知り対応することで、個人情報流出時の被害を最小限に抑えられます
- 中二病の気がある友人に「ダークウェブレポート」について語ることで、尊敬のまなざしで見てもらえるようになるかも?
先日、こんなことがありまして…
十数年前にブログで利用させてもらっていた F●2というサービスがあります。2つのアカウントを持っていたのですが、まったく使わなくなったので両方とも退会しました。
しかしじゃ
退会した途端、複数の迷惑メールがそのメールアドレス宛に届いたではありませんか。
このサービスに登録していたメールアドレスは古く、現在では迷惑メールですら殆ど届いていない状況でした。なのに、この急展開。
迷惑メールなど慣れっこですが、今回は因果関係を感じられずにはいられない。背筋がゾクッとしました…。退会することで何らかのトリガーを引いてしまう…なんてことがあるのかは分かりませんが。
ただ、漏れたのがメールアドレスだけならあまり怖くないのですが、同時にパスワードまで漏れていたら、かなり危険です。
みなさん、もしかしてパスワードの使い回しをしていませんか?これを最後まで読んだら、コワくて絶対にパスワードの使いまわしなどできなくなりますよ!
自戒のために最後まで読むんじゃぞ!
個人情報の漏れを確認する方法
そもそも、ダークウェブとは…
- 通常の検索エンジンではアクセスできない特別なネットワーク上のウェブサイト
- 匿名性が高く、専用のブラウザが必要
- 個人情報の売買など、違法な取引が多く行われている
- 合法的な目的で使われることもある
個人情報の漏洩を調べるツールはいくつかある。有名なものは「Have I Been Pwned」じゃ。
ただ、そういったツールは海外製のものが多く、解説も英語オンリーです。英語が苦手な日本人にとっては、そのツール自体が信用できるものか判断し兼ねるため、利用するのも怖々だったりします。
しかし、ここで紹介するのは天下のGoogle様のサービスなので安心!(2024年9月現在、無料で利用可能)
Googleアカウントが必須です。お持ちでない方は取得を!> 新しい Google アカウントを作成する
取得が難しい方は、こちらへ飛ぼう。
ダークウェブレポートの設定
まず、ダークウェブレポートの設定方法を解説していきます。
step
1ダークウェブレポートの設定ページを開く
まずは、Googleアカウントにログインしてください。ログインしていないと「403エラー」となりページが表示されません。
下記をクリック
step
2「モニタリングを開始」をクリック
step
3モニタリンク項目の選択
どの情報をモニタリングするか選ぼう。ここは「すべて選択」でOK。
step
4モニタリング項目の設定完了
先ほど設定したモニタリングしたい項目が表示されます。問題なければ「完了」をクリック。
step
5モニタリングの編集画面が表示されます
モニタリングの編集画面が表示されました。このページでは、現在モニタリング中の項目を確認することができます。項目の編集、削除や追加もこのページで行います。
Googleアカウントに登録されている情報は自動的に読み込まれ、すでに表示されています。迷惑メールが届くメールアドレスなど、漏洩の有無が気になる別のメールアドレスを追加してみましょう。
step
6メールアドレスを追加
step
7認証コードを確認
この状態では、まだメールアドレスを追加されていません。このメールアドレス宛に認証用のコードが記載されたメールが届きます。認証コードを入力して「確認」をクリック。
step
8メールアドレスが追加されました
メールアドレスが追加されました!
続けて、他のメールアドレスも全部登録してみましょう。
また、電話番号も同じように追加することができます。電話番号の場合、認証コードは「音声」または「テキスト」を選択できるため、固定電話を追加することも可能です。
すべての情報を登録を終えたら、結果をチェックしてみましょう。
プロフィール編集画面の左上にある「←」をクリックするとダッシュボードに戻れます。見つからない場合は、次の項目にリンクを記載してあるのでクリックしてください。
レポートを確認してみよう!
step
1ダッシュボードを開く
下記をクリック
さて、いよいよ発表です。筆者の個人情報は、これだけダークウェブに流出していました…!
どーーーん!!
24件も!氏名まで流出してるなり
- メールアドレス : 24件
- パスワード : 17件
- ユーザー名 : 1件
- 氏名 : 1件
- 電話番号 : 1件
こんなにも漏れているものなのか…
step
2「すべての結果を表示」をクリック
流出元を確認してみましょう。一つ一つの項目をクリックしてもよいですが、これだけあると面倒なので、一気に確認することにします。
step
3漏洩元のリストが表示されました
漏洩元のリストがズラズラと24件も表示されました。
一番左側の項目が流出元の名前。企業名やコンボリスト名(サイバー犯罪者が一般に利用する、大量のユーザー名とパスワードのセットを集めたリスト)が記載されています。
壮観で草!!
どこから何が流出したか一目で分かります。
メールアドレス&パスワードがセットで流出しているものが 17件も!
ただ、一つ一つ確認してみたところ、ほとんどが十数年前に使用していたパスワードでした。すでに変更済みのものばかりなので、問題はなさそうです。
しかし、一つだけ最近使っていたものが見つかりました。用心しなければ。
step
4さらに詳細を見る
「123RF」からは名前や電話番号まで漏れてますね。これは気になる…!この項目をクリックしてみましょう。
step
5流出情報の詳細が表示されました
ここまで開くと、漏れた情報の内容が確認できます。
氏名と電話番号の流出はショックですね。メールアドレスは変えられますが、この二つは変えられない…!
2024年9月現在、色々なサービスで二段階認証が必須になりつつあります。対策方法にも記載がありますが、二段階認証を使えるサービスは、面倒がらずに利用しましょう。
二段階認証は「認証アプリ」がベスト!
とはいえ、二段階認証も完璧ではないそうで、突破されることがあります。メールやSMSは、それ自体が乗っ取られている可能性があるので、SMSやメールではなく、認証アプリを利用しましょう。
- Google Authenticator(グーグル・オーセンティケーター)
Googleが提供する二段階認証アプリ。多くのサービスで対応。
iOS / Android - Microsoft Authenticator(マイクロソフト・オーセンティケーター)
Microsoftが提供するアプリ。Microsoftアカウント以外にも対応。
iOS / Android - Twilio Authy(トゥイリオ・オーシー)
Twilio(トゥイリオ)が提供する認証アプリ。クラウドバックアップ機能や複数デバイスでの利用が可能。
iOS / Android
流出元の情報は「Have I Been Pwned」の方が詳しい
Googleアカウントなど絶対に取りたくないマンの方や、設定めんどくせぇマンな方は、「Have I Been Pwned」を利用してみましょう。対象はメールアドレスだけですが、非常に簡単にチェックできます。
Have I Been Pwned とは
Have I Been Pwned(ハブアイビーンポーンド)
メールアドレスの流出の有無を確認できる無料のウェブサービス。多くの漏洩データを基にデータベースが作られており、簡単にチェックできるのが特徴。
使い方は、検索窓にメールアドレスを入力して「pwned?」をクリックするだけ。
流出元の情報は、Googleのダークウェブレポートよりも詳しいので、見ていて楽しい(!?)
まとめ
迷惑メールが一つでも届いていたら、まず間違いなくダークウェブに情報が流れているでしょう。しかし、サイトやサービスごとにパスワードを変えておけば、流出があっても大事には至らないはず。
しかし、もしパスワードを使い回していたとしたら…
SNSを乗っ取られるとか…
Amazonを乗っ取られるとか…
いろいろ恐ろしいことが起こってもおかしくありません。流出したメールアドレスとパスワードで、ショッピング系サイトに侵入されてしまったら、勝手にお買い物されて金銭的被害に及ぶことも。
そうならないように、下記の2点を心掛けよう!
- パスワードは使い回さない!
- 二段階認証は「アプリ認証」を使う
POMのYouTubeチャンネルも見てな
