一部で把握できている漏えいアドレスだけで「50億件」

　「haveibeenpwned」というサイトがあるのをご存じだろうか。マイクロソフトのリージョナルダイレクターであり、セキュリティスペシャリストのTroy Hunt氏が運営するサイトで、メールアドレスを入力すると、過去の重大漏えい事件などで流出したアカウント情報データベースをサーチして記載（＝漏れている）の有無を教えてくれる。


　上記画像の例でいえば、DropboxとForbesのサイトが攻撃されたときに流出したデータに、入力したメールアドレスが含まれていたということになる。また、同サイトの情報（3月13日現在）によれば、検索対象は、情報漏えいを起こした271のサイト、4,949,099,146個のアカウントとなっている。簡単にいえば、なんらかのインシデントで流出したアカウントのうち、同社が管理するデータベースに保存されているものが50億近くあるということだ。

　ただし、自分のアドレスが漏えいしていることがわかったからといって、慌てても仕方ない。というのは、とりあえずパスワードを変えるくらいしか利用者側にできることはないからだ。

　もちろん、メールアドレスが漏れていることは軽い問題ではないが、ネット上に流出したデータを消すことは（ほぼ）不可能だ。PCやスマートフォンの脆弱性をなくし、メールのフィルターを強化するなどの対策を考えるほうが現実的だ。

漏えい前提で考えるアカウント情報

　なお、haveibeenpwnedが把握しているだけでも50億件もの漏えいしたアドレスがあれば、自分のメールアドレスが含まれていてもなんら不思議はない。インターネットでもうまく検索すれば、攻撃者が使っているアドレスリストにたどり着くこともできる。

　例えば「pastebin」のようなサイトは、しばしば攻撃者どうしのアドレスリスト交換に利用されることがある。ハッカーが自分の成果を誇示するために、盗み出したアカウント情報をSNSやブログ、Webサイトに公開する場合もある。「ダークウェブ」（通常のブラウザーではアクセスできないWebコンテンツ）ならば当然、そのようなデータが飛び交っているわけだ。メールアドレスはそういう前提で考える必要がある。

　問題は、漏えいした情報がどれほど危険な状態にあるか、実際の攻撃に利用されているかどうかだ。haveibeenpwnedの情報では、漏えいが発生した時期も記載されている。すでにそのサービスアカウントのパスワードを変更したか、退会していれば、関連するスパムや不審なメールが増えていないかで、実際の危険度を判断する。

　漏えいが直近で、関連していそうなスパムや不審アクセスが増えているなら、そのサイトやサービスの運営に問い合わせしてもいいだろう。ただし、そのスパムや不審アクセスがこの漏えいによるものかの特定は難しい。直接的な対策はとりにくいので、注意しながらセキュリティ対策を強化・再確認するしかない。

　危険度の評価が難しい場合、セキュリティベンダーなどに相談してもよい。漏えいしたメールアドレスの危険度を評価してくれるサービスも存在する。

【次ページ】 メールアドレスの漏えいにはどう対応すべきか