ダークウェブ流出確認 だークウェブりゅうしゅつかくにん
簡単に言うとこんな感じ!
自分のメールアドレスやパスワードが「ネットの裏市場」に流れてないかチェックすることだよ!過去のサービス漏洩で盗まれた情報が悪用される前に「もう漏れてるかも?」って気づける、いわば早期警戒システムなんだ!
ダークウェブ流出確認とは
ダークウェブ流出確認(Dark Web Leak Check)とは、自社・自分のメールアドレス・パスワード・個人情報が、通常の検索エンジンからはアクセスできない「ダークウェブ」上の闇市場や不正フォーラムに流出していないかを調べる行為・仕組みのことです。企業・個人問わず、セキュリティ対策の第一歩として注目されています。
ダークウェブとは、Torなどの特殊なソフトウェアを使わないとアクセスできないインターネットの領域で、盗んだアカウント情報や個人データが売買される「闇の市場」が存在します。大手サービスへの不正アクセスや内部からの情報持ち出しで盗まれたID・パスワードのリストが、ここに出回ることが非常に多く、それを悪用したクレデンシャルスタッフィング攻撃(盗んだID・パスワードを別サービスに試し入力する攻撃)が横行しています。
流出確認を行うことで、「気づかないうちに漏れていた情報」をいち早く把握し、パスワード変更・アカウント凍結・社内通知といった対策を打てるようになります。情報漏洩は発覚まで平均200日以上かかると言われており、早期発見が被害最小化の鍵です。
ダークウェブ流出確認の仕組みと種類
流出確認の手段は大きく「無料セルフチェック」と「企業向け継続監視サービス」に分かれます。
| 種別 | 代表例 | 特徴 | 向いている人 |
|---|---|---|---|
| 無料セルフチェック | HaveIBeenPwned | メールを入力するだけ | 個人・小規模 |
| 企業向け監視SaaS | SpyCloud, Constella | ドメイン全体を常時監視 | 中〜大企業 |
| IDaaS内蔵機能 | Microsoft Entra ID Protection | AD連携で自動検知 | Microsoft環境 |
| パスワードマネージャー | 1Password Watchtower | 保存パスワードを自動照合 | 個人・SMB |
確認の仕組み(裏側で何をしているか)
流出確認サービスは、以下のような流れで動いています。
① 過去の漏洩データベース(Breach Database)を収集・蓄積
↓
② 入力されたメールアドレス/ドメインとハッシュ照合
↓
③ 一致するレコードがあれば「流出あり」として通知
↓
④ 流出元サービス名・流出日時・流出した情報の種類を提示パスワードの確認には k-Anonymity(k匿名性) という技術が使われ、パスワードのハッシュ値の先頭5文字だけをサーバーに送り、実際のパスワードをサービス側に知らせることなく照合できます(HaveIBeenPwnedのPwned Passwords APIが採用)。
流出情報の種類
| 流出情報の種類 | リスクレベル | 主な悪用方法 |
|---|---|---|
| メールアドレス+パスワード | ★★★★★ | クレデンシャルスタッフィング |
| メールアドレスのみ | ★★☆☆☆ | フィッシング・スパム |
| 氏名+住所+電話番号 | ★★★★☆ | なりすまし・ソーシャルエンジニアリング |
| クレジットカード情報 | ★★★★★ | 不正購入・転売 |
| 社員のVPN認証情報 | ★★★★★ | 社内ネットワーク侵入 |
歴史と背景
- 2013年 — Adobe社で約1億5,300万件のアカウント情報が漏洩。ハッシュ化が不十分だったため多くのパスワードが解読され、業界に衝撃を与える
- 2013年 — セキュリティ研究者 Troy Hunt が、漏洩データベースを個人が自分で確認できるサービス「Have I Been Pwned (HIBP)」の構想を開始
- 2014年 — HIBP が正式公開。「自分のメールが漏れているか調べられる」初の一般向け無料サービスとして急速に普及
- 2016年 — LinkedIn・Dropbox・MySpaceの大規模漏洩データがダークウェブで大量販売。クレデンシャルスタッフィング攻撃が爆発的に増加
- 2018年 — HIBPがk-Anonymityを実装し、パスワード自体を送信せずに確認できるPwned Passwords APIを公開
- 2019年 — MicrosoftがAzure AD(現Entra ID)にHIBPとの連携機能を追加。企業のID管理に流出確認が組み込まれ始める
- 2021年〜 — RockYou2021(約82億件)など「コンボリスト」(複数漏洩データを統合したリスト)の流通が加速し、企業向け継続監視サービスの需要が急拡大
- 2023年〜 — NIST SP 800-63B改訂議論で「漏洩済みパスワードの使用禁止チェック」が推奨要件として明文化される方向に
企業が取るべき対策フロー
ダークウェブ流出確認は「調べて終わり」ではなく、発見後の対応がセットです。
発注担当者が押さえておくべきポイント
まず無料のHIBPで自社ドメインを調べてみることを強くお勧めします。「〇〇@自社ドメイン」のメールアドレスがいくつ漏れているかを把握するだけでも、リスクの実感が大きく変わります。社員数が多い・機密情報を扱う企業は、企業向け継続監視SaaSの導入を検討しましょう。Microsoft 365を使っている場合は、Entra ID Protection(旧Azure AD Identity Protection)がP2ライセンスに含まれており、追加コストなしで利用できる場合があります。
関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| NIST SP 800-63B | デジタルアイデンティティのガイドライン。セクション5.1.1.2で「漏洩済みパスワードのブラックリストチェック」を要求 |
| RFC 5321 | SMTPの仕様。流出したメールアドレスを使ったスパム・フィッシングの基盤プロトコル |
関連用語
- クレデンシャルスタッフィング — 漏洩したID・パスワードリストを別サービスに大量試行する攻撃手法
- フィッシング — メール等を使って偽サイトへ誘導しアカウント情報を盗む攻撃
- 多要素認証(MFA) — パスワードだけに頼らない複数の認証要素を組み合わせた認証方式
- パスワードマネージャー — 複雑なパスワードを安全に生成・保管・管理するツール
- ゼロトラスト — 「社内だから安全」という前提を捨て、常に検証する考え方
- アイデンティティ管理(IdM) — 組織内のユーザーIDとアクセス権を一元管理する仕組み
- 情報漏洩インシデント対応 — 漏洩発覚後の通知・封じ込め・復旧までの対応手順