あなたのメールアドレスやユーザー名がハッカーに盗まれ、インターネットに投稿されたことはありませんか?その疑問の答えは、Pwnedlistという新しいオンラインサービスで見つかります。
自分の電子メール アドレスまたはユーザー名が、このサービスの約 500 万件の名前を含む盗まれた個人データのデータベースに含まれているかどうかを確認するには、自分の情報を入力して [チェック] をクリックするだけで、Pwnedlist が良いニュースか悪いニュースかを教えてくれます。
もし良い知らせ、つまりあなたの情報がPwnedlistのデータベースに登録されていないのであれば、安心してため息をつくことができます。もし悪い知らせであっても、Pwnedlistは慌てる必要はないとアドバイスしています。データベースに登録されているからといって、必ずしも誰かがあなたのアカウントに侵入しようとしたわけではありません。それでも、念のため、このアカウントだけでなく、他のアカウントのパスワードも変更することをお勧めします。
問題はどの程度広がっているのか?
このサービスは、HP/TippingPoint傘下のDVLabsで働くセキュリティ専門家、アレン・プジック氏とジャシエル・スペルマン氏のアイデアから生まれました。サイバースペースから侵害された情報を自動収集する実験中に、このサービスを思いつきました。わずか2時間で、彼らは約3万件のアカウントのログイン情報をすべて収集しました。
「しかし、本当に恐ろしかったのは、私たちがこれほど短い時間で収集できたデータの質の高さでした」と、彼らはPwnedlistのウェブサイトに記している。「私たちが取得できたアカウントには、メールサービス、ソーシャルメディアサイト、商店、さらには金融機関まで含まれていました。」
これらの発見をきっかけに、2人はPwnedlistを立ち上げました。Pwnedlistは根本からセキュリティを確保するよう設計されています。Pwnedlistが収集するのはメールアドレスとユーザー名のみです。それ以外の情報はすべて破棄されます。データベースに保存される前に、「一方向ハッシュ」と呼ばれる暗号化プロセスにかけられ、元のテキストは破棄されます。さらに、サイトに入力した情報は一切保存されません。
しかし、このサービスはセキュリティ対策として訪問者のIPアドレスを保存しています。セキュリティライターのブライアン・クレブス氏とのインタビューで、プジック氏は、1~2週間ごとに誰かがサイトへのハッキングやマルウェアの埋め込みを試みていると説明しました。
Pwnedlist サイトに加えて、このセキュリティ デュオは Twitter アカウントも持っており、そこで Pwnedlist データベースに追加された最新情報のソースを投稿しています。
セキュリティ専門家の間では、2011年は既に「データ漏洩の年」と呼ばれています。ソニー、イプシロン、グーグル、シティグループ、セガといった企業のデータストアに侵入したクラッカーによって、何百万人もの人々のメールアドレス、ユーザー名、パスワードなどが盗まれました。さらに、あまり知られていない多くの漏洩事件が日々発生しています。だからこそ、Pwnedlistはまさに絶好のタイミングでオンラインに登場したと言えるでしょう。
フリーランスのテクノロジーライター John P. Mello Jr. と Today@PCWorld を Twitter でフォローしてください。
