【ネットセキュリティー】パスワード流出を確認できる「Have I been Pwned」がオープンソース化へ–FBIと連携も【お漏らしチェック】

ホーム
セキュリティ
【ネットセキュリティー】パスワード流出を確認できる「Have I been Pwned」がオープンソース化へ–FBIと連携も【お漏らしチェック】

2021.06.12
セキュリティ

【ネットセキュリティー】パスワード流出を確認できる「Have I been Pwned」がオープンソース化へ–FBIと連携も【お漏らしチェック】

1: へっぽこ立て子＠エリオット ★ 2021/05/31(月) 14:41:25.31 ID:CAP_USER

　「Have I been Pwned」（HIBP）は、自分のパスワードなどが流出していないかを無料で確認できるサイトだ。HIBPには頻繁に発生している個人情報漏えいインシデントで流出したデータが集められており、毎月10億回近くのアクセスがある。このHIBPに関して、大きなニュースが2つ発表された。まず、HIBPのデータに米連邦捜査局（FBI）の捜査過程で発見された流出パスワードの情報も加えられることになった。
□Have I Been Pwned: Check if your email has been compromised in a data breach（英文）
https://haveibeenpwned.com/

FBIが同サイトに関与することになった理由について、FBIのサイバー部門アシスタントディレクターのBryan A. Vorndran氏は、「私たちは、HIBPとこのオンライン認証情報盗難の被害者を守る重要なプロジェクトで協力できることを嬉しく思う。これは、サイバー犯罪との戦いにおいて官民のパートナーシップが重要であることを示す例の1つだ」と述べている。

FBIのパスワードはSHA-1とNTLMハッシュで提供される（HIBPの運用には平文のパスワードは必要とされていない）。これらの情報は、FBIから提供された時点でシステムに反映されるという。

もう1つのニュースは、HIBPが提供しているサービスのうち、パスワードが流出しているかどうかを確認する「Pwned Passwords」の部分がオープンソース化されたことだ。これは、FBIから流出パスワードの提供を受けたこととも関連している。
□Troy Hunt: Pwned Passwords, Open Source in the .NET Foundation and Working with the FBI（英文）
https://www.troyhunt.com/pwned-passwords-open-source-in-the-dot-net-foundation-and-working-with-the-fbi/

HIBPを立ち上げたMicrosoftのセキュリティ専門家であり、同社のリージョナルディレクターでもあるTroy Hunt氏は、オープンソース化する理由として、「HIBPの理念はコミュニティを支援することだったが、今や私はコミュニティにHIBPを支援してほしいと考えている」と述べている。HIBPは、.NETで書かれており、Azure上で動いている。

1カ月に10億回も検索されるほどの規模に成長したこのプロジェクトに支援が得られれば、Hunt氏は助かるはずだ。同氏は、2020年8月にHIBPのオープンソース化を計画し始めたが、すぐにそれは簡単なことではないことに気づいた。そこで同氏は、オープンソース化を進めるために.NET Foundationの支援を受けることになった。
□個人情報の流出を確認できる「Have I Been Pwned」がオープンソース化 – ZDNet Japan
https://japan.zdnet.com/article/35157993/

.NET FoundationはMicrosoftの組織ではなく、.NETプラットフォームのオープンソースエコシステムを支援するために設立された、501（c）の認証を得ている独立した非営利団体だ。

同氏は、HIBPの売却を検討したこともあったが、オープンソース化に乗り出すことで、その可能性はなくなりそうだ。

Hunt氏は、HIBPで提供している機能のうち、比較的オープンソース化が簡単なPwned Passwordのコードから取り組みを始めている。HIBPのコードはGitHub上で公開されており、ライセンスには3条項BSDライセンスが使用されている。
□HaveIBeenPwned · GitHub（英文）
https://github.com/HaveIBeenPwned

また同氏は、プロジェクトをオープンソース化したことを知らせる記事の中で、FBIから提供されたパスワードを取り組む機能のコードに関して想定していることを挙げている。そして、コミュニティに対し、この作業に協力して欲しいと呼びかけている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
https://www.zdnet.com/article/have-i-been-pwned-goes-open-source/

2021-05-31 14:23
ZDNet Japan
https://japan.zdnet.com/article/35171550/

2: 名刺は切らしておりまして 2021/05/31(月) 14:49:23.89 ID:bI+H0AYQ

と言いながらPW収集するつもりなんだろ

3: 名刺は切らしておりまして 2021/05/31(月) 14:51:39.20 ID:J/D/jpCm

パスワード収集して売り飛ばすサイトできた

4: 名刺は切らしておりまして 2021/05/31(月) 14:52:24.90 ID:cKziiLcf

こうやって情報収集すると

5: 名刺は切らしておりまして 2021/05/31(月) 14:56:07.85 ID:7g+9Sv72

メールアドレスやパスワードを収集するパターン？

7: 名刺は切らしておりまして 2021/05/31(月) 15:06:11.46 ID:6Og3pQGr