私の情報、漏れちゃってる?

個人情報を漏洩させた人のイラスト

実在のお店などの広告とかではなくて、ガチの迷惑メールが来るのなら、それはやっぱりメールアドレスが流通している可能性が高いと考えられます。

「流通している」とはそのままの意味で、メールアドレス(あるいはその他の情報)が、インターネット上で売買されている、ということです。

個人情報が流通していると言えば、
日本国内では、名簿業者という合法的に個人情報の売買を生業にしている業者が、インターネットが一般化するよりも前から(もちろん現在も)存在しています。
いわゆる卒アルの買取とかが有名だそうです。

筆者の携帯電話には数ヵ月に1回くらいの頻度で、不動産投資業者から、マンション買いませんか?的な電話がかかってきます。
そっこーで電話番号を拒否リストにぶち込むわけですが、以前に一度だけ暇つぶしで話を聞いてみたときに、どこで個人情報を入手したのか訪ねてみたところ、名簿業者からですと正直に答えられ、そのときは意外だと思いましたが、思い返せば合法取引なので別に言うのをはばかる必要はなかったんだと思います。

ただ、名簿業者名は教えてくれませんでした。
合法業者は、本人からの削除の依頼があった場合に必ず削除すること(オプトアウト)を条件に操業していることになっているはずなので、業者に削除依頼を出せば消してもらえるかもしれませんが、よく考えてみると結局いたちごっこのような気もしてきました。

ちなみに、この投稿を書いている最中に、筆者の携帯電話にちょうど070-1482-8658からかかってきました。
ググった結果、大阪のアスベルというマンション投資営業だそうです。

一方、インターネットでの不正流出となると、海外の闇サイトで取引されていると考えられます。

不正に流出したものに関しては、不正競争防止法というのがあるらしく、合法業者もわざわざ危ない橋は渡らないと思われますが、それは希望的観測なのでしょうか。

余談がすぎました。
名簿業者に関しては、自分の個人情報が流出しているかを簡単には調べられそうにありませんが、ネット上の個人情報流出の可能性については、メールアドレスをもとに判定するサイトを利用すれば、比較的簡単に調べられそうです。

– 英語サイト

Have I Been Pwned?について

(以降HIBPと表記)Have I Been Pwned?Microsoft Regional Directorで、Microsoftの開発者セキュリティのMVP受賞歴が複数回実績のある、トロイ・ハント氏が運営しているサイトとされています。
※Microsoft Regional DirectorはMicrosoftに雇用されている社員ではないらしい

国内のIT系メディアサイトや、大手のウイルス対策ソフトのブログでも取り上げられているようなので、問題はないと思いますが、類似サイトを含むこのようなサイト自体が安全ではない可能性は否定できませんので、ご利用は自己責任でお願いします

ちなみにWikipedia(英語)もあるようです。
WikipediaのGoogle翻訳
Wikipedia 日本語版もできてました。

昔のMicrosoftロゴをあしらった、偽のセキュリティソフトが多数あることから、それらに騙されたことのある人は、Microsoftというと変に警戒してしまわれるかもしれませんね。
そうでなくても、なぜかWindows UpdateなどのWindowsからの通知のことは不審に思って警戒するのに、ネット中に出てくる偽警告には従ってしまう人の、なんと多いことでしょう。

利用方法

– 英語サイト

英語アレルギーの人は放っておいて、使い方はいたって簡単で、
「email or phone (international format)」と書かれたテキストボックスに、調べたいメアドか電話番号を入れて「pwned?」ボタンを押すだけです。HIBPの使い方先日のFacebookの情報流出を受けて、最近電話番号の検索も一部対応したとのことで、日本の電話番号は対応済みとのこと。
電話番号はinternational format(国際電話形式)となっていますので、日本の電話番号は、最初の「0(ゼロ)」を国際電話の国番号「+81」に変えてハイフン(-)なしで入力します。
例:電話番号090xxxxxxxxの場合は「+8190xxxxxxxx」と入力する

HIBPが把握済みの内容から、入力したメアドや電話番号がヤラレテルかどうかが判定されます。
フッター(画面下部の背景が黒いところ)に書かれているのが、HIBPが把握済みの内容だと思われます。
結果がGoodだったとしても、それはHIBPが持ってるリストには該当しなかっただけです。


入力したメアドや電話番号が、幸いにしてヤラレテなかった場合は、緑の背景の画面で「Good news no pwnage found」というメッセージが表示されます。

Good news no pwnage found

ひとまずよかったですね。


一方、めでたくヤラレテいる場合は、赤の背景の画面で「Oh no – pwned」というメッセージが表示されます。

そして具体的にやられている内容リストが続いて表示されます。

Oh no - pwned

あちゃー、ヤラレちゃってるよ。

例の画像では、

  • 2012年半ばの、Dropboxがヤラレちゃった内容に該当した
  • 2018年2月に発見された、2844件のデータ侵害に含まれる8000万を超えるレコードに該当した
  • 2019年1月に発見された、7億7千3百万にのぼるCollection #1というデータ侵害に該当した

いずれも被害に遭ったのはEmail addresses, Password、つまりメアドとパスワードとなっている。

こうなると、とりあえずヤバい!

そのメアドに悪質な迷惑メールが度々来ること自体はもう不可避です。

そのうえで、そのメアドを使っているサービスを継続して利用したい場合は、
例の場合、Dropboxを利用しているのが明らかなので、まずDropboxのパスワードは絶対変更するべきです。
メアド自体のパスワードも変更するべきです。
可能なら、メアド自体を変えた方が良いです。

肝心なのはここから。

同じメアドで登録しているサービスが他にもあり、さらに同じパスワードを使いまわしている場合、めっちゃヤバいです!
片っ端からパスワードを変更していかなければなりません。

そのメアドを使っているサービスを継続して利用したくない場合であっても、そのまま捨て置くのはちょっと待った!です。
仮にメアドを変えたとしても、元のログイン情報はそのまま健在かもしれません。

サービスの内容によっては、本当に利用しないのであれば、可能な限りパスワードを変更した上で、解約手続きを取るべきでしょう。
※パスワードを変えてなかったら、解約の取り消しができるかもしれないので

ちなみに、どのパスワードがヤラレちゃってるかも調べることができるとのことです。
同サイトのヘッダーにある「Passwords」から、判定ページに行けます。

もし何かしらの被害に実際に遭ってしまったときは、同じパスワードを使いまわすリスクが、ご理解いただけるときになるでしょう。
普通の人は、実際に痛い目に遭うまで「自分は大丈夫」と思っていますからね。
※正常性バイアス

最後に

ヤラレてなかったとしても、
同じパスワードを使いまわしている場合は、それぞれパスワードを変更なさった方が良いと思いますよ。

だって、ご自身がいくら気を付けていたとしても、利用先がヤラレちゃったら、どうしようもないですからね。