個人情報の流出を確認できるウェブサイト「Have I Been Pwned」がオープンソース化される。
このウェブサイトはセキュリティ専門家のTroy Hunt氏が開発・維持しているもの。法規制に加えて、セキュリティが侵害された企業に対して透明性を求める声が増えたことによって、データ侵害の報告が増えるにつれ、その知名度がますます高まっている。
データ侵害が発生すると、企業の財務記録や機密情報のほか、顧客に紐づけられている個人を特定可能な情報(PII)が流出したり、盗まれたりする可能性がある。こうしたデータセットは、カードのクローニングやなりすまし犯罪のために、頻繁にダークウェブで売買されている。
インターネットユーザーは、Have I Been Pwnedで自身のメールアドレスを検索して、ハッキングされたかどうか確認できる。メールアドレスがデータ侵害と関連付けられている場合、それぞれの侵害の概要と、流出した情報が表示される。
Hunt氏は2013年にサイトを立ち上げて以来、時間とエネルギーを含む多大なリソースをつぎ込んで、サイトを管理してきた。今ではサービスを拡大し、ドメイン名での検索や侵害アラートも提供している。
将来の拡張性と持続可能性を確保するには、Hunt氏1人が運営者として関わるだけでは不十分だ。このため同氏は、ライフワークとも言えるこのサイトを拡張するために、買い手を探したこともある。
しかし、合併・買収の試みは失敗に終わったため、同氏はHave I Been Pwnedのコードベースをオープンソースコミュニティーに公開するという別の選択肢を追求することにした。
Hunt氏は米国時間8月7日のブログ記事で、Have I Been Pwnedはこれまでもコミュニティープロジェクトだったと述べた。すべてのデータセットが外部から提供されているほか、Cloudflareが同サイトの多くサービスを無料でホスティングしており、サイトで使用しているコードもコミュニティーの貢献によるものだという。
「あのプロセス(買収)の唯一最も重要な目的は、Have I Been Pwnedのために、より持続可能な未来を模索することであり、その願いは変わっていない。このプロジェクトは、私だけに依存することはできない。しかし現在はそうした状況にあり、私がいなくなればサイトはすぐに衰え、消滅するだろう」(同氏)
Have I Been Pwnedはセキュリティ環境を改善し、データ侵害の影響を受けた個人が、侵害されたアカウントのパスワードを変えたり、複数サービスで同じパスワードを流用してはいけないことを理解したりするなど、セキュリティへの姿勢を改善するために必要な知識を提供する狙いで開発された。
こうしたことを念頭に置いたオープンソース化は、コードの一般公開によって、このコンセプトを強化できる。透明性によって信頼性を高められるほか、脆弱性を発見して、プラットフォームそのもののセキュリティを改善できる可能性がある。
「山積みになっている未対応のことやバグ、人々が提案してくれているものの、実装できずにいる素晴らしいアイデアなど、コミュニティーが手助けしてくれるのであれば、ようやくプロジェクトに還元できる」と、Hunt氏は述べた。
しかし、Have I Been Pwnedをそのままの状態で、GitHubに丸投げすることはできない。Hunt氏は、オープンソースコミュニティーとクラウドシステムの有能な人材と連携し、コードベースを段階的に公開する計画だという。このためプラットフォームが完全にオープンになるまでの、明確なタイムラインはない。
データに関して言うならば、Have I Been Pwnedプラットフォームに必要な要素として、価値があるとは言え、それを所有すること自体グレーな領域にある。Hunt氏はオープンソース化に取り組む中、厳密なプライバシー管理は、「実行可能だが、容易な作業ではない」と述べた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。