個人情報流出チェックサイト「Have I Been Pwned?」が電話番号での検索に対応

個人情報流出チェックサイト「Have I Been Pwned?」が電話番号での検索に対応

  • GIGAZINE
  • 更新日:2021/04/07
No image

自分の個人情報が流出しているかをチェックできるサイトの「Have I Been Pwned?(HIBP)」が、電話番号での検索に対応したと、HIBPの作者であるトロイ・ハント氏が発表しました。これにより、5億人超が被害を受けたFacebookの個人情報流出問題で自分の電話番号が流出しているかどうかを、HIBPで検索できるようになります。

Troy Hunt: The Facebook Phone Numbers Are Now Searchable in Have I Been Pwned

https://www.troyhunt.com/the-facebook-phone-numbers-are-now-searchable-in-have-i-been-pwned/

Have I Been Pwned adds search for leaked Facebook phone numbers

https://www.bleepingcomputer.com/news/security/have-i-been-pwned-adds-search-for-leaked-facebook-phone-numbers/

2021年4月3日に、Facebookから5億3300万人分のメールアドレス・電話番号・プロフィールなどが流出していたことが判明しました。そこでHIBPは早急にこの問題に対応し、Facebookから流出した個人情報に自分のデータが含まれていないかどうかをメールアドレスで検索できるようにしました。

No image

無料で5億3300万人分のユーザーデータが流出したFacebookに登録していたメールアドレスが漏えいしているかを調べる方法 - GIGAZINE

HIBPの作者であるハント氏は当初、電話番号での検索に対応することについては消極的でした。というのも、多くのデータベースに含まれる電話番号は形式が統一されていないことが多いので、メールアドレスと違って正規表現で照合するのが難しいからです。また、HIBPが電話番号に対応することで、HIBPが第三者による身元確認などに利用されてしまうリスクもありました。

しかし、Facebookから流出した情報には、5億件以上の電話番号が含まれていた一方で、メールアドレスは数百万件しか含まれていなかったため、個人情報が流出してしまった人の99%以上が、実際には被害に遭っているのに「HIBPで検索しても『該当なし』と表示されてしまう」という問題が発生しました。また、Facebookから流出したデータでは、国際電話番号のフォーマットが統一されていたので、簡単に電話番号を抜き出すことができるようになっていました。

そこでハント氏は、Twitterでアンケートを行い、HIBPが電話番号検索に対応するかの意見を募りました。その結果、賛成が67.8%、反対が32.2%と賛成多数となり、身元確認に利用されてしまうリスクを踏まえても電話番号検索に対応して欲しいという意見が多数を占めることとなりました。

Should the FB phone numbers be searchable in @haveibeenpwned ? I’m thinking through the pros and cons in terms of the value it adds to impacted people versus the risk presented if it’s used to help resolve numbers to identities (you’d still need the source data to do that).
— Troy Hunt (@troyhunt)
April 4, 2021
from Twitter

そこで、ハント氏はHIBPで電話番号を検索できるよう、データを追加することにしました。記事作成時点では、国際電話番号コードが「1」「3」「4」「6」「7」「8」で始まる番号まで対応が済んでいるとのこと。日本のコードは「81」で追加済みのデータに該当するので、実際にHIBPで検索してみます。

Have I Been Pwned: Check if your email has been compromised in a data breach

https://haveibeenpwned.com/

No image

上記のURLからHIBPにアクセスして、検索欄に電話番号を入力します。例えば、Facebookに登録している電話番号が「090」で始まる場合、「0」を国際電話の「+81」にして「+8190」としてから、残りの番号をハイフンなしで入力して、「pwned?」をクリックします。なお、「+」はオプションなのであってもなくてもいいとのこと。

No image

入力した電話番号が流出した電話番号に含まれていなければ、「Good news — no pwnage found!」と表示されます。

No image

HIBPに追加された電話番号は今回の流出問題でFacebookから漏えいしたものだけで、過去のさまざまな流出問題で漏えいした電話番号は含まれていません。ただし、将来的にFacebookのような問題が再発生し、電話番号検索に対応すべきだと思われた場合は検討すると、ハント氏は述べています。また、Facebookから流出したデータにはさまざまなバリエーションがあるため、HIBPで検索してひっかからなかった場合でも、自分の情報が漏えいしている可能性はゼロではない点に注意が必要とのことでした。

この記事をお届けした
グノシーの最新ニュース情報を、

でも最新ニュース情報をお届けしています。

外部リンク

  • このエントリーをはてなブックマークに追加