ビジネス+ITの3月19日記事に役に立ちそうなサイト情報がありました。
www.sbbit.jp
下記のサイト(Have I Been Pwned)が自分のメールアドレスが過去に商用サイトから漏えいしたメールアドレスかどうか判別してくれます(漏えいしている情報を元にしたDBを構築しています)。
haveibeenpwned.com
こうした漏えい情報の合計(※記事記載時)は、このサイトだけで275サイト、49.5億件にものぼります。
過去に大型な情報漏えいを起こしたサイトといえば、マイスペース、ヤフー、Adobeなどが有名ですが・・・意外に下位にランクされています。
私も調べてみたのですが・・・プライベートのメールアドレスが1サイトでひっかかったという結果に・・・全然気づいてませんでした。
ちなみに会社のアドレスは問題なし。
このサイトにて漏えいしていたと言われたメールアドレスも、実際にはパスワードまでセットで漏れたかまでは分かりません。パスワード変更した方がより安全であるとは思いますが、その辺りは漏えいしたメールアドレスの重要度(フリーのメアドなら捨てるという手もありますし・・)を考慮して決めても良いのかと思います。
海外で名刺を交換・あるいは企業ブースにて投函(してiPadの抽選!に外れたケース)、する場合など、やはり海外起点では、結構そのあとにスパムメールが増えたりします。とは言え企業サイトの漏えいメールアドレスは全世界で50億件を軽く超えているわけですので、対面より非対面で”メールアドレスは漏れる”前提で(個人の)セキュリティを考える必要があるのだと思います。
IDとパスワードが漏れると様々な情報漏えい被害を受ける可能性がありますが、片方(ID=メアド)は既に漏れているという仮定であれば、重要なサイトでのパスワード使いまわしは危険である事は言うまでもありません。
しかし最近それ以上に問題だと思うのが、(そんなに個人では実害が無いかも知れない)漏えいしたメールアドレスが、ビックデータの紐付けコードとなってしまう事です。
例えば、以下の情報がDarkWebにあったとして、
- Aサイト メールアドレス、趣味
- Bサイト メールアドレス、氏名
- SNSサイトC メールアドレス、ハンドルネーム
- SNSサイトD ハンドルネーム、 都道府県名、生年月日
メールアドレスを紐付けキーにすると、4サイトから「メールアドレス、氏名、生年月日、ハンドルネーム、都道府県名」の情報を紐づけて取り出す事ができるかも知れません。SNSにアップされた写真から導きだせるヒントがあれば、更に細かい情報を入手する事もできるでしょう。場合によっては生年月日や趣味からパスワードが類推できるかも知れません。
DarkWebに溢れるビックデータを『分析して』出てきた個人(プロファイル)情報が、どのくらいの価値になるのかは、その個人が持つ資産価値によりますが、例えばその個人が、『標的型攻撃の対象』となりえる場合、攻撃の成功率はかなり高くなると推測されます。
多くの方にとって、たかがメールアドレスではあるかも知れません。しかしそれをキーとした攻撃が懸念される状況であるならば(例えば上記のサイトでいくつものサイトで”漏れている”と判定される場合)思い切ってメールアドレスを変更してしまう、そんな対策も考えておくべきなのかも知れません。
更新履歴