CollectionとHave I Been Pwnedのお話
今回のエントリでは、Collection と呼ばれる*2リークされた大量の情報群と、 Have I Been Pwned というサイトについて扱っていきます。
関連して、Deep Web や Dark Web について、初心者による初心者のための解説 もやっていき! と思っています。 よくわかっていないながら話していくので、そんなこともあるんだなぁと楽しんでもらったり、間違いがあったらコメントで指摘したりしてください。 責任は負えないのと、悪用はだめだからね!
Deep Web と Dark Web
Deep WebやDark Webについて皆さんはご存知ですか?*3
かなり多くの方が誤解されているかと思われますが、Dark Webはともかく、 Deep Webは結構多くの人が日常的に利用している といっても言い過ぎではないと思います。
もうちょっと詳しく話していきましょう
Webって氷山に例えられがち
世界中のWebサイトのうち、Google検索に引っかかるのは僅か5%である
みたいな話、聞いたことありませんか? つまり、9割以上のWebサイトは検索しても出てこないということです。
Google先生に聞けば何でも答えてくれるよねー、なんて言ってGoogle検索に依存した生活を送っている*4と、 直感に合わないぞという印象を受けるかもしれませんが、実はGoogle検索にヒットしないWebページはありふれているのです。 *5
例えば
- GmailやYahoo!メールのメール
- FacebookやTwitterの鍵のかかったアカウントからの投稿
- Amazonで検索条件をいろいろつけたときの検索画面(URLにGETパラメータがついているやつ)
- クレジットカードや銀行のサイトなど、ログインしないと見られないようなサイト*6
- Googleドキュメントなどで作成したファイル
これらにはURLがあって、つまり一つ一つがWebページであります。 特にGETパラメータに応じてページ生成するようなWebサイトは、Google検索でヒットしないよね。 こう考えると、さっきの話*7は、納得してもらえるかと思います。
簡単にまとめると
そしてDeep WebやDark Webについて話すときに、 その数の比から次の画像のような氷山に例えられることがよくあります。*8
画像引用元: Top 10 Deep Web Search Engines of 2018
あれ? あの子の話は?
じゃあDark Webってなんなのという話ですが、次のような特徴のあるWebサイトと考えてもらえればいいと思います。
特殊な技術は必要とせず、その気になれば見ることができてしまう、恐ろしいところです。
Torでは通信経路が匿名化されていて*14*15、その結果としてアングラなものがよく扱われてしまいます。 一方でWikileaksの活動や中国等の活動家など、国家等の監視の目から逃れて活動するためには、有用なものであるという一面もあります。
次節からやっと本題に
Dark Web上での個人情報のやり取りがあった、という話をしていくので、 簡単にDeep Web、Dark Webの話をしました。
「リークした個人情報を集めてみました。
1TBになっちゃったლ(´ڡ`ლ)」
公開された大量の個人情報
それは、今年のはじめのことでしたーー
Dark Web上で Collection #1 という個人情報を詰め込んだファイルが公開され、 それから間もなくして Collection#2~#5を始めとする、合計7つのファイルも公開され、 合計サイズは993.36GBにまでのぼる、過去最大の個人情報のリークファイルとなりました。
The larger collection of breached data, of which the recent "Collection #1" was part off, was leaked earlier today online, in full.
— Catalin Cimpanu (@campuscodi) January 18, 2019
Leaked on the same forum where the Collection #1 data was posted.
Happy hunting! pic.twitter.com/fMN2GiTAY6
残念ながら私の力及ばず、このサイトを見つけ出すことができなかったのですが*16、 他の方のスクリーンショットを見ると、たったの45ドルで入手できるみたいです。*17
87GBくらいのCollection #1ですら、2000万件ものパスワードが平文で入っているらしく、 全体ではどれだけの個人情報が含まれているのか、と考えると怖いですね。*18
これだけの大量のリークがあったにもかかわらず、ほとんどニュースにもなっていなかったと記憶しています。
ただ、曰く、ほとんどが古い情報だから今使えるものではないらしいので、空が落ちてきた!みたいに騒がなくていいみたいです。 でも、もしかしたら自分の個人情報が漏れちゃっているかもしれないですよね?
そこで、自分のメアド&パスワードがリークされていないか確かめるサイトをご紹介していきます。
';--have i been pwned?
はい、どーん!
こちらが、自分のメアドについてのリークがあったのか、簡単に確かめられるサイトになっています。
いろいろなリークされたデータを集めて、漏洩した全部で64億ものアカウントについてデータベース化してあり、 入力したメールアドレスと比較してくれます。 そして、今回話したCollection #1についても含まれるので、気になる方は試してみてください。
ちなみに私が試した結果はこちら
どうやら2つ目で入力したメールアドレスは2013年に漏れちゃっていたみたいなんですけど……
ぜひ確認してみて!
もしかしたらあなたのメアド&パスワードがPwnされているかもしれないですよ! メールアドレスを入力するだけで済むので確認してみましょ(๑•̀ㅂ•́)و✧
注意: メールアドレスとパスワードの両方を入力させてリークされているか確認する、みたいなサイトがあったら それはNGなので気をつけてくださいね
まとめみたいなもの
Collectionは入手したかった、もしくは配布サイトを見つけたかったな。
参考&Special Thanks
Dark Webについてわかりやすく書いてありました。これみたらNTTデータいいねって思いました。
Dark Webから“脅威インテリジェンス”を収集・分析するイスラエル企業 - WirelessWire News(ワイヤレスワイヤーニュース)
Top 10 Deep Web Search Engines of 2018
Surface Web / Deep Web / Dark Web について簡潔にかいてあってよかった
*1:2月にもなって、あけおめって……
*2:本当に呼ばれているかはわからないけれど、都合がいいのでそゆことにしておいて
*3:私は殆ど知らないんですけど。
*4:少なくとも私はそう
*5:深層ウェブからご機嫌ようするお嬢様がいらっしゃいますが、結構な人がDeep Webと触れ合っているのです
*6:学科のdavとかね
*7:世界中のWebサイトのうち、Google検索に引っかかるのは僅か5%である
*8:比喩の是非は置いておきます
*10:そうでないものもあります
*11:Top Level Domain
*12:Full Qualified Domain Name
*13:他の取り決めもあるかと思いますが、簡単のためDark Webはすべてonion系とします
*14:ちょっとがばがばな説明だけど割愛
*15:通信そのものは暗号化しないので中間者攻撃は可能っぽい?
*16:なんか「いかがでしたか?」系サイトっぽくなっちゃって申し訳ないのですが……!
*17:ちなみにDark Webでの決済にはBitcoin等仮想通貨が使われがちっぽい
*18:見てみたいなあ