【ネットセキュリティー】パスワード流出を確認できる「Have I been Pwned」がオープンソース化へ–FBIと連携も【お漏らしチェック】

1: へっぽこ立て子@エリオット ★ 2021/05/31(月) 14:41:25.31 ID:CAP_USER

 「Have I been Pwned」(HIBP)は、自分のパスワードなどが流出していないかを無料で確認できるサイトだ。HIBPには頻繁に発生している個人情報漏えいインシデントで流出したデータが集められており、毎月10億回近くのアクセスがある。このHIBPに関して、大きなニュースが2つ発表された。まず、HIBPのデータに米連邦捜査局(FBI)の捜査過程で発見された流出パスワードの情報も加えられることになった。
□Have I Been Pwned: Check if your email has been compromised in a data breach(英文)
https://haveibeenpwned.com/

FBIが同サイトに関与することになった理由について、FBIのサイバー部門アシスタントディレクターのBryan A. Vorndran氏は、「私たちは、HIBPとこのオンライン認証情報盗難の被害者を守る重要なプロジェクトで協力できることを嬉しく思う。これは、サイバー犯罪との戦いにおいて官民のパートナーシップが重要であることを示す例の1つだ」と述べている。

FBIのパスワードはSHA-1とNTLMハッシュで提供される(HIBPの運用には平文のパスワードは必要とされていない)。これらの情報は、FBIから提供された時点でシステムに反映されるという。

もう1つのニュースは、HIBPが提供しているサービスのうち、パスワードが流出しているかどうかを確認する「Pwned Passwords」の部分がオープンソース化されたことだ。これは、FBIから流出パスワードの提供を受けたこととも関連している。
□Troy Hunt: Pwned Passwords, Open Source in the .NET Foundation and Working with the FBI(英文)
https://www.troyhunt.com/pwned-passwords-open-source-in-the-dot-net-foundation-and-working-with-the-fbi/

HIBPを立ち上げたMicrosoftのセキュリティ専門家であり、同社のリージョナルディレクターでもあるTroy Hunt氏は、オープンソース化する理由として、「HIBPの理念はコミュニティを支援することだったが、今や私はコミュニティにHIBPを支援してほしいと考えている」と述べている。HIBPは、.NETで書かれており、Azure上で動いている。

1カ月に10億回も検索されるほどの規模に成長したこのプロジェクトに支援が得られれば、Hunt氏は助かるはずだ。同氏は、2020年8月にHIBPのオープンソース化を計画し始めたが、すぐにそれは簡単なことではないことに気づいた。そこで同氏は、オープンソース化を進めるために.NET Foundationの支援を受けることになった。
□個人情報の流出を確認できる「Have I Been Pwned」がオープンソース化 – ZDNet Japan
https://japan.zdnet.com/article/35157993/

.NET FoundationはMicrosoftの組織ではなく、.NETプラットフォームのオープンソースエコシステムを支援するために設立された、501(c)の認証を得ている独立した非営利団体だ。

同氏は、HIBPの売却を検討したこともあったが、オープンソース化に乗り出すことで、その可能性はなくなりそうだ。

Hunt氏は、HIBPで提供している機能のうち、比較的オープンソース化が簡単なPwned Passwordのコードから取り組みを始めている。HIBPのコードはGitHub上で公開されており、ライセンスには3条項BSDライセンスが使用されている。
□HaveIBeenPwned · GitHub(英文)
https://github.com/HaveIBeenPwned

また同氏は、プロジェクトをオープンソース化したことを知らせる記事の中で、FBIから提供されたパスワードを取り組む機能のコードに関して想定していることを挙げている。そして、コミュニティに対し、この作業に協力して欲しいと呼びかけている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
https://www.zdnet.com/article/have-i-been-pwned-goes-open-source/

2021-05-31 14:23
ZDNet Japan
https://japan.zdnet.com/article/35171550/

2: 名刺は切らしておりまして 2021/05/31(月) 14:49:23.89 ID:bI+H0AYQ
と言いながらPW収集するつもりなんだろ

3: 名刺は切らしておりまして 2021/05/31(月) 14:51:39.20 ID:J/D/jpCm
パスワード収集して売り飛ばすサイトできた

4: 名刺は切らしておりまして 2021/05/31(月) 14:52:24.90 ID:cKziiLcf
こうやって情報収集すると

5: 名刺は切らしておりまして 2021/05/31(月) 14:56:07.85 ID:7g+9Sv72
メールアドレスやパスワードを収集するパターン?

7: 名刺は切らしておりまして 2021/05/31(月) 15:06:11.46 ID:6Og3pQGr

確認のために入力したパスワードが流出する可能性が高いよね。

FBIも観れるし

8: 名刺は切らしておりまして 2021/05/31(月) 15:09:27.85 ID:nbcqprey
こんなとこにパスワード入力するのこえーわ

12: 名刺は切らしておりまして 2021/05/31(月) 15:40:02.80 ID:ZqVm0y2l

何年か前にここで、海外から大量にスパムが届く捨てメアドを判定したらアウトだったわ(笑)

>>8
メアド入力だけだぞ?

9: 名刺は切らしておりまして 2021/05/31(月) 15:15:27.70 ID:33Tu0GzN
盗んだ奴が確認で使いそうだな

10: 名刺は切らしておりまして 2021/05/31(月) 15:16:40.57 ID:EMgTJASB
怪しすぎて逆に安全なんじゃないか?

11: 名刺は切らしておりまして 2021/05/31(月) 15:20:42.39 ID:Wou3l3O6
漏出元はadobeなんだけど、なんで賠償金請求できねーんだろう

13: 名刺は切らしておりまして 2021/05/31(月) 15:40:18.97 ID:6VGu2zgK
おらのPAS
QWER○Y

15: 名刺は切らしておりまして 2021/05/31(月) 15:53:23.82 ID:PIvuzRC5
「流出確認を行うアカウントと正しいパスワードを入力してください。

16: 名刺は切らしておりまして 2021/05/31(月) 16:13:15.72 ID:OgLPY0bE

>>FBIのパスワードはSHA-1とNTLMハッシュで提供される(HIBPの運用には平文のパスワードは必要とされていない)

あれ?
「※但しFBIは入力されたIDとPWは解読できます。」って文言が
どこにも書いてないけど書き忘れかな?

誰か来た。

18: 名刺は切らしておりまして 2021/05/31(月) 16:37:34.93 ID:kUZ86exD
keepass使ってチェックする方法があるからPwned webページへの入力に抵抗がある人やオフライン環境で確認したい人はそっちでやろう

19: 名刺は切らしておりまして 2021/05/31(月) 17:32:39.76 ID:2nQuqjuN
ただの収集ツールやんけ

20: 名刺は切らしておりまして 2021/06/01(火) 06:32:07.56 ID:UiujXCcG
信用できない
むしろ日本が独自にこうゆうことやってくれ(便乗ww

22: 名刺は切らしておりまして 2021/06/01(火) 07:00:26.25 ID:ZW9bGJXM
>>20
こういうことをビジネスにするセンスが欲しい
スポンサーリンク
スポンサーリンク

管理人からひと言

ちょっとこわい

引用元

【ネットセキュリティー】パスワード流出を確認できる「Have I been Pwned」がオープンソース化へ--FBIと連携も【お漏らしチェック】 [エリオット★]
スポンサーリンク
スポンサーリンク
スポンサーリンク

シェアする

フォローする