メニュー

「Have I Been Pwned」のメールアカウント漏洩通知サービス「Notify me」と「Domain search」登録メモ

2018年6月4日 - memo
「Have I Been Pwned」のメールアカウント漏洩通知サービス「Notify me」と「Domain search」登録メモ

 
今年度に入ったあたりからメールとパスワードのセットが流出しているであるとか、売買されているというニュースやリリースなどが目立つと感じています。
そういった内容を受けてかプライベート、仕事の繋がりのある方からお問い合わせをいただくこともあります。問い合わせの内容としては「あなたのところの組織のメールアドレスとパスワードがダークウェブで売買されているのを発見した。それについての情報提供が必要であればうちのサービスを契約しませんか?」という売り込みを受けたのだが、何か情報持ってない?といったような類いのものです。こうした状況はあまりよろしくない気がするので、そんな状況を少しでも緩和することができそうな「Have I Been Pwned」というサイトの「Domain search」と「Notify me」とその登録方法について情報共有します。

 

本題に入る前にまず、「Have I Been Pwned」の紹介をします。
このサイトは過去の流出データが数多く登録されており、自身のメールアドレスを入力し、検索することで流出していないかどうかをチェックすることが無料でできるサービスです。登録されているデータからの検索となるため、このサイトで検索した結果、流出が認められないからといって100%どこにも流出していないかというとそういうわけではありませんが、かなりの情報量が登録されている(2018/06/02時点で5,044,555,541アカウント)ので、そこそこのカバーはできていると考えてよいかと思います。

次に、このサイトは信用できるのか?という問題ですが、こちらの運営者はTroy Hunt氏という方でMicrosoft MVPでもある、オーストラリアのWebセキュリティの専門家です。詳しくはWikiPeadiaを参照ください。入力する情報も基本的にはメールアドレスですし、身元も明らかになっている方のサイトですのでボクは信用してもよいかと思い自身のメールアドレスを登録しています。ちなみに、このお名前はハンドルネームではなく、本名のようでセキュリティ専門家としてはうってつけの名前ではないかとボクは思います。日本人の名前でいうところの「せきや まもる」さんといったところでしょうか。

 

【Notify meへの登録】
それでは本題に入ります。まずは「Notify me」からです。
Have I Been Pwned」ではトップページのテキストボックスにメールアドレスを入力し、[pwned?]ボタンをクリックすることで流出の有無を確認することができます。

しかし、これでは自身でアクセスして新規に流出が認められていないかどうかを確認する手間が発生します。そこで、自身で検索せずとも新規に流出が認められた際に登録しておいたメールアドレスに通知してくれるサービスが「Notify Me」です。

このサービスに登録するには、まずページ上部の[Notify Me]をクリックします。

すると、以下のようにウインドウがポップアップしますので、メールアドレスを入力し、reCAPTCHAをチェックし、[notify me of pwnage]をクリックします。

問題がなければ以下のような画面に遷移し、登録したメールアドレスにメールが届きますので、そのメール内に記載された確認用URLをクリックすることで登録完了となります。

メール内に記載されているURLをクリックすると登録完了画面にアクセスし、流出が認められている場合はその内容が表示されることとなります。ボクが今回登録したアドレスでは流出がなかったため「Good news — no pwnage found!」となっています。

 

【Domain searchへの登録】
では、次に「Domain search」です。
こちらは、「Notify me」がメールアドレス個別で登録することに対して、自身や自組織の所有しているドメイン(メールアドレスの@以降)を登録することで流出データが認められた際にまとめて通知をしてくれるというものです。ボクとしては「あなたのところのメールアドレス流出してますよ」なんて売り込みに不安になったり、応じる前にこちらに登録することをおすすめします。

登録するにはページ上部の[Domain search]をクリックします。

下図のようにページが遷移するので必要な情報を入力します。

[Domain name]には自身、自組織のドメイン(メールアドレスの@以降)
[Notification email]には流出が認められた場合の通知先メールアドレス
を入力します。入力が完了したら、reCAPTCHAをチェックし、[begin Veryfication]ボタンをクリックします。
すると、また、ページが遷移し、どのようにそのドメインの所有者であることを確認するかを選択する画面になります。誰でもが登録できてしまうと、それこそ流出してますよ的な売り込みをしてくるような人たちに利用されてしまいますので、こちらの確認は「Notify me」よりも少々ハードルが高めです。

確認方法は以下の4つの中から選択することになります。

① [Verify by email] 指定されたメールアドレスに送信されたメールに応答する
② [Verify by meta tag] ドメインのルートにあるHTMLファイルにメタタグを挿入する
③ [Verify by file upload] ドメインのTXTエントリーを追加する
④ [Verify by domain TXT record] サイトに.txtファイルをアップロードする

遷移したページを開いたまま(閉じるとはじめからやり直しになります)、上記4つの内から1つを選択し、その内容を実行した後、選択した確認方法のところにあるボタンをクリックします。今回、ボクは③を選択したので、指定された名前で指定された内容が記述されたテキストファイルをアップロードをしてからボタンをクリックしました。問題なくテキストファイルが確認されたようで以下のように確認が取れた旨を伝える画面へと遷移しました。

流出が認められた場合には通知が行われ、その内容については「HTML5」「Ms Excel」「JSON」といった形式で受け取ることができるようになるようです。

ボクは、流出しているという報道や売り込みだけで確認方法がなく、不安になってしまう方や組織が少しでも減ることを願っています。その一助となれば幸いだと思いこのエントリを書きました。

情報共有は以上です。