データ漏洩(データブリーチ)とは
データ漏洩(Data Breach)とは、企業やサービスが保有する個人情報が外部に流出する事件のことです。ハッキング、内部犯行、設定ミスなど、さまざまな原因で発生します。
漏洩するデータの種類
| データの種類 | 危険度 | 悪用例 |
|---|---|---|
| メールアドレス | ★★☆ | スパム、フィッシング |
| パスワード(平文) | ★★★ | アカウント乗っ取り |
| パスワード(ハッシュ) | ★★☆ | 解読後にアカウント乗っ取り |
| 氏名 + 住所 | ★★★ | なりすまし、詐欺 |
| クレジットカード番号 | ★★★ | 不正利用 |
| 電話番号 | ★★☆ | スミッシング、詐欺電話 |
| 社会保障番号/マイナンバー | ★★★ | 身分詐称 |
過去の大規模漏洩事件
| 年 | 企業/サービス | 漏洩件数 | 漏洩データ |
|---|---|---|---|
| 2013 | Yahoo | 30億件 | メール、パスワード、セキュリティ質問 |
| 2019 | 5.3億件 | 電話番号、メール | |
| 2021 | 7億件 | 氏名、メール、電話番号 | |
| 2023 | MOVEit | 6,200万件以上 | 企業データ、個人情報 |
漏洩の確認方法
方法1: Have I Been Pwned(最もおすすめ)
Have I Been Pwned(HIBP)は、セキュリティ研究者Troy Huntが運営する漏洩チェックサービスです。
使い方
- haveibeenpwned.com にアクセス
- メールアドレスを入力
- 「pwned?」ボタンをクリック
- 結果が表示される
結果の見方
| 表示 | 意味 |
|---|---|
| 緑色「Good news — no pwnage found!」 | 漏洩は確認されていない |
| 赤色「Oh no — pwned!」 | 漏洩が確認された(漏洩元サービスも表示) |
HIBPの信頼性
- セキュリティ業界で広く信頼されているサービス
- メールアドレスを入力しても、HIBPがそのアドレスを保存・悪用することはない
- FBIや各国の政府機関もデータ提供パートナー
- オープンソースのAPIも提供
方法2: パスワードの漏洩チェック
Have I Been Pwnedの「Passwords」ページでパスワードの漏洩もチェックできます。
- haveibeenpwned.com/Passwords にアクセス
- パスワードを入力
- そのパスワードが過去の漏洩データに含まれているか確認
注意: パスワードはk-匿名化(k-Anonymity)技術でハッシュの一部のみが送信されるため、入力したパスワード自体がサーバーに送られることはありません。
方法3: Google パスワードチェックアップ
Google アカウントを使っている場合:
- passwords.google.com にアクセス
- 「パスワードチェックアップ」をクリック
- 保存されているパスワードの中から漏洩・脆弱なものを検出
方法4: ブラウザの漏洩通知
主要ブラウザには漏洩パスワードの通知機能があります。
| ブラウザ | 機能名 | 設定場所 |
|---|---|---|
| Chrome | パスワードチェック | 設定 → パスワード |
| Firefox | Firefox Monitor | about:protections |
| Safari | パスワードの漏洩通知 | 設定 → パスワード |
| Edge | パスワードモニター | 設定 → パスワード |
方法5: パスワードマネージャーの監視機能
| サービス | 機能名 |
|---|---|
| 1Password | Watchtower |
| Bitwarden | データ漏洩レポート |
| Dashlane | ダークウェブモニタリング |
| LastPass | セキュリティダッシュボード |
漏洩が確認された場合の対処法
即座に行うべきこと
ステップ1: パスワード変更(最優先)
漏洩が確認されたサービスのパスワードを即座に変更します。
重要: 同じパスワードを使い回していた場合は、
すべてのサービスのパスワードを変更する必要があります。ステップ2: 二要素認証(2FA)の設定
まだ設定していない場合は、すぐに2FAを有効にしましょう。
ステップ3: 不審なアクティビティの確認
| 確認項目 | 方法 |
|---|---|
| ログイン履歴 | 各サービスのセキュリティ設定画面 |
| 不審な購入 | クレジットカード明細 |
| 不審なメール送信 | メールの送信済みフォルダ |
| SNSの不審な投稿 | 自分のプロフィール確認 |
ステップ4: クレジットカード情報が漏洩した場合
- カード会社に連絡して利用停止
- 不正利用がないか明細を確認
- 新しいカード番号を発行
- 自動引き落としの設定を更新
長期的な対策
| 対策 | 効果 |
|---|---|
| パスワードマネージャーの導入 | すべてのサービスで固有のパスワードを使用 |
| 2FAの全サービス設定 | パスワード漏洩時の二次防御 |
| 定期的な漏洩チェック | 早期発見 |
| HIBP通知の登録 | 新たな漏洩発生時にメール通知 |
漏洩を予防する方法
パスワード管理のベストプラクティス
| ルール | 理由 |
|---|---|
| パスワードを使い回さない | 1つの漏洩が連鎖的な被害に |
| 16文字以上の強いパスワード | 総当たり攻撃への耐性 |
| パスワードマネージャーを使う | 大量の固有パスワードを管理 |
| 定期的に変更しない(漏洩時のみ) | NIST推奨。定期変更は弱いパスワードにつながる |
アカウントセキュリティの原則
- 2FAを必ず設定 — 特にメール、銀行、SNS
- セキュリティ質問に本当の回答を設定しない — ペットの名前や出身地は推測可能
- 不要なアカウントを削除 — 使っていないサービスのアカウントは攻撃対象
- メールアドレスを使い分ける — 重要なサービスと使い捨てサービスでアドレスを分ける
メールエイリアスの活用
メールアドレスの漏洩リスクを軽減するために、サービスごとに異なるメールアドレスを使う方法があります。
| サービス | 仕組み |
|---|---|
| Apple Hide My Email | ランダムなアドレスを生成、本来のアドレスに転送 |
| Firefox Relay | ランダムなアドレスを生成、本来のアドレスに転送 |
| SimpleLogin | オープンソースのメールエイリアスサービス |
| Gmail の + タグ | [email protected] 形式で使い分け |
企業の漏洩事件への対応(ユーザー視点)
漏洩通知を受け取った場合
企業から「お客様の情報が漏洩しました」という通知を受けた場合の対応:
- 通知の真偽を確認 — フィッシングメールの可能性もある。公式サイトで確認
- パスワードを変更 — 通知メール内のリンクは使わず、直接公式サイトにアクセス
- 2FAを設定
- 影響範囲を確認 — どの情報が漏洩したか
- クレジットカード情報が含まれる場合 — カード会社に連絡
漏洩通知がフィッシングかどうかの見分け方
| 正規の通知 | フィッシング |
|---|---|
| 公式ドメインから送信 | 不審なドメインから送信 |
| 具体的な事実を記載 | 曖昧な表現 |
| パスワード入力を直接求めない | リンク先でパスワード入力を要求 |
| 公式サイトでも告知されている | 公式サイトに情報なし |
HIBP通知の登録方法
Have I Been Pwnedでは、メールアドレスを登録しておくと、新たな漏洩事件でそのアドレスが含まれていた場合に通知を受け取れます。
- haveibeenpwned.com/NotifyMe にアクセス
- メールアドレスを入力
- 「notify me of pwnage」をクリック
- 確認メールのリンクをクリック
よくある質問
Q: 漏洩チェックサイトにメールアドレスを入力しても大丈夫?
Have I Been Pwnedは信頼性の高いサービスですが、名前も知らないサイトには入力しないでください。漏洩チェックを装ってメールアドレスを収集するフィッシングサイトも存在します。
Q: パスワードが漏洩していなければ安全?
現時点で漏洩が確認されていないだけで、将来漏洩する可能性はあります。また、すべての漏洩事件がHIBPに登録されているわけではありません。強いパスワードと2FAは常に設定しておきましょう。
Q: ダークウェブとは?
ダークウェブは通常のブラウザではアクセスできないインターネット上の領域で、漏洩した個人情報が売買されることがあります。一部のパスワードマネージャーはダークウェブモニタリング機能を提供しています。
Q: 漏洩した情報を削除してもらえる?
一度インターネット上に流出した情報を完全に削除することは事実上不可能です。そのため、漏洩が発覚した場合は速やかにパスワード変更等の対策を行うことが重要です。
まとめ
個人情報漏洩への対策は、予防と早期発見の2つが柱です。
予防
- パスワードを使い回さない
- 16文字以上の強いパスワードを使う
- 2FAを設定する
- 不要なアカウントを削除する
早期発見
- Have I Been Pwnedで定期的にチェック
- HIBP通知を登録
- ブラウザやパスワードマネージャーの漏洩監視を有効にする
安全なパスワードの生成には Assistyのパスワード生成ツール をご利用ください。サービスごとに固有の強力なパスワードを生成し、漏洩時の被害を最小限に抑えましょう。