【ネットセキュリティー】パスワード流出を確認できる「Have I been Pwned」がオープンソース化へ–FBIと連携も【お漏らしチェック】

1: へっぽこ立て子@エリオット ★ 2021/05/31(月) 14:41:25.31 ID:CAP_USER

 「Have I been Pwned」(HIBP)は、自分のパスワードなどが流出していないかを無料で確認できるサイトだ。HIBPには頻繁に発生している個人情報漏えいインシデントで流出したデータが集められており、毎月10億回近くのアクセスがある。このHIBPに関して、大きなニュースが2つ発表された。まず、HIBPのデータに米連邦捜査局(FBI)の捜査過程で発見された流出パスワードの情報も加えられることになった。
□Have I Been Pwned: Check if your email has been compromised in a data breach(英文)
https://haveibeenpwned.com/

FBIが同サイトに関与することになった理由について、FBIのサイバー部門アシスタントディレクターのBryan A. Vorndran氏は、「私たちは、HIBPとこのオンライン認証情報盗難の被害者を守る重要なプロジェクトで協力できることを嬉しく思う。これは、サイバー犯罪との戦いにおいて官民のパートナーシップが重要であることを示す例の1つだ」と述べている。

FBIのパスワードはSHA-1とNTLMハッシュで提供される(HIBPの運用には平文のパスワードは必要とされていない)。これらの情報は、FBIから提供された時点でシステムに反映されるという。

もう1つのニュースは、HIBPが提供しているサービスのうち、パスワードが流出しているかどうかを確認する「Pwned Passwords」の部分がオープンソース化されたことだ。これは、FBIから流出パスワードの提供を受けたこととも関連している。
□Troy Hunt: Pwned Passwords, Open Source in the .NET Foundation and Working with the FBI(英文)
https://www.troyhunt.com/pwned-passwords-open-source-in-the-dot-net-foundation-and-working-with-the-fbi/

HIBPを立ち上げたMicrosoftのセキュリティ専門家であり、同社のリージョナルディレクターでもあるTroy Hunt氏は、オープンソース化する理由として、「HIBPの理念はコミュニティを支援することだったが、今や私はコミュニティにHIBPを支援してほしいと考えている」と述べている。HIBPは、.NETで書かれており、Azure上で動いている。

1カ月に10億回も検索されるほどの規模に成長したこのプロジェクトに支援が得られれば、Hunt氏は助かるはずだ。同氏は、2020年8月にHIBPのオープンソース化を計画し始めたが、すぐにそれは簡単なことではないことに気づいた。そこで同氏は、オープンソース化を進めるために.NET Foundationの支援を受けることになった。
□個人情報の流出を確認できる「Have I Been Pwned」がオープンソース化 – ZDNet Japan
https://japan.zdnet.com/article/35157993/

.NET FoundationはMicrosoftの組織ではなく、.NETプラットフォームのオープンソースエコシステムを支援するために設立された、501(c)の認証を得ている独立した非営利団体だ。

同氏は、HIBPの売却を検討したこともあったが、オープンソース化に乗り出すことで、その可能性はなくなりそうだ。

Hunt氏は、HIBPで提供している機能のうち、比較的オープンソース化が簡単なPwned Passwordのコードから取り組みを始めている。HIBPのコードはGitHub上で公開されており、ライセンスには3条項BSDライセンスが使用されている。
□HaveIBeenPwned · GitHub(英文)
https://github.com/HaveIBeenPwned

また同氏は、プロジェクトをオープンソース化したことを知らせる記事の中で、FBIから提供されたパスワードを取り組む機能のコードに関して想定していることを挙げている。そして、コミュニティに対し、この作業に協力して欲しいと呼びかけている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
https://www.zdnet.com/article/have-i-been-pwned-goes-open-source/

2021-05-31 14:23
ZDNet Japan
https://japan.zdnet.com/article/35171550/

2: 名刺は切らしておりまして 2021/05/31(月) 14:49:23.89 ID:bI+H0AYQ
と言いながらPW収集するつもりなんだろ

 

3: 名刺は切らしておりまして 2021/05/31(月) 14:51:39.20 ID:J/D/jpCm
パスワード収集して売り飛ばすサイトできた

 

4: 名刺は切らしておりまして 2021/05/31(月) 14:52:24.90 ID:cKziiLcf
こうやって情報収集すると

 

5: 名刺は切らしておりまして 2021/05/31(月) 14:56:07.85 ID:7g+9Sv72
メールアドレスやパスワードを収集するパターン?

 

7: 名刺は切らしておりまして 2021/05/31(月) 15:06:11.46 ID:6Og3pQGr

確認のために入力したパスワードが流出する可能性が高いよね。

FBIも観れるし

 

8: 名刺は切らしておりまして 2021/05/31(月) 15:09:27.85 ID:nbcqprey
こんなとこにパスワード入力するのこえーわ

 

12: 名刺は切らしておりまして 2021/05/31(月) 15:40:02.80 ID:ZqVm0y2l

何年か前にここで、海外から大量にスパムが届く捨てメアドを判定したらアウトだったわ(笑)

>>8
メアド入力だけだぞ?

 

9: 名刺は切らしておりまして 2021/05/31(月) 15:15:27.70 ID:33Tu0GzN
盗んだ奴が確認で使いそうだな

 

10: 名刺は切らしておりまして 2021/05/31(月) 15:16:40.57 ID:EMgTJASB
怪しすぎて逆に安全なんじゃないか?

 

11: 名刺は切らしておりまして 2021/05/31(月) 15:20:42.39 ID:Wou3l3O6
漏出元はadobeなんだけど、なんで賠償金請求できねーんだろう

 

13: 名刺は切らしておりまして 2021/05/31(月) 15:40:18.97 ID:6VGu2zgK
おらのPAS
QWER○Y

 

15: 名刺は切らしておりまして 2021/05/31(月) 15:53:23.82 ID:PIvuzRC5
「流出確認を行うアカウントと正しいパスワードを入力してください。

 

16: 名刺は切らしておりまして 2021/05/31(月) 16:13:15.72 ID:OgLPY0bE

>>FBIのパスワードはSHA-1とNTLMハッシュで提供される(HIBPの運用には平文のパスワードは必要とされていない)

あれ?
「※但しFBIは入力されたIDとPWは解読できます。」って文言が
どこにも書いてないけど書き忘れかな?

誰か来た。

 

18: 名刺は切らしておりまして 2021/05/31(月) 16:37:34.93 ID:kUZ86exD
keepass使ってチェックする方法があるからPwned webページへの入力に抵抗がある人やオフライン環境で確認したい人はそっちでやろう

 

19: 名刺は切らしておりまして 2021/05/31(月) 17:32:39.76 ID:2nQuqjuN
ただの収集ツールやんけ

 

20: 名刺は切らしておりまして 2021/06/01(火) 06:32:07.56 ID:UiujXCcG
信用できない
むしろ日本が独自にこうゆうことやってくれ(便乗ww

 

22: 名刺は切らしておりまして 2021/06/01(火) 07:00:26.25 ID:ZW9bGJXM
>>20
こういうことをビジネスにするセンスが欲しい

管理人からひと言

ちょっとこわい

引用元

https://anago.2ch.sc/test/read.cgi/bizplus/1622439685/

関連記事

  1. 【奈良】元女性部下の業務メール、盗み見る…県係長(43)逮捕 机から盗んだ機器を使う

  2. 【IT】総務省 LINEに行政指導の方針固める 個人情報管理めぐる問題で

  3. 【IT】セキュリティ人材で大切な資質とは–育成ブームに「苦言」

  4. 【IT】米当局、フェイスブックに巨額制裁金か

  5. 【PC】「macOS High Sierra」のプログラムコードを2行書き替えるだけで「見えないクリ…

  6. 【AI】ロシアや中国のサイバー攻撃集団、ChatGPT利用 米調査

  7. 【ドイツ】情報流出で20歳学生逮捕 政治家への「怒り」動機 極右的な思想の持ち主か

  8. 格安スマホ「mineo」契約者の専用サイトに不正なアクセス 6400人余の情報が見られた可能性

  9. 【内閣府】サイバー防御予算、1・7倍要求へ…五輪へ強化

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

最近の人気記事

おすすめ記事

新着記事

  1. 閉鎖のお知らせ
  2. SES社長だけど質問ある?
  3. windowsにAI搭載するとか言ってるけどさぁ
  4. 新卒エンジニア僕、資格勉強する気が起きない
  5. 文系学部卒一般企業志望の君の進路はここから選んでもらうぞ!→ 営業・販売・未経験…

ボンブの戯言

  1. 【ボンブの戯言】ITエンジニアは、なぜうつ病になるのか
  2. 【ボンブの戯言】フリーランスが払う税金など6選!私たちはこんなに支払っている!
  3. 【ボンブの戯言】ITエンジニアがフリーランスになる理由
  4. 【ボンブの戯言】はじめました。
  5. 【ボンブの戯言】サーバーって何なの(オンプレに限る)
PAGE TOP