個人情報の流出を確認できる「Have I Been Pwned」がオープンソース化

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部

2020-08-11 13:27

 個人情報の流出を確認できるウェブサイト「Have I Been Pwned」がオープンソース化される。

 このウェブサイトはセキュリティ専門家のTroy Hunt氏が開発・維持しているもの。法規制に加えて、セキュリティが侵害された企業に対して透明性を求める声が増えたことによって、データ侵害の報告が増えるにつれ、その知名度がますます高まっている。

 データ侵害が発生すると、企業の財務記録や機密情報のほか、顧客に紐づけられている個人を特定可能な情報(PII)が流出したり、盗まれたりする可能性がある。こうしたデータセットは、カードのクローニングやなりすまし犯罪のために、頻繁にダークウェブで売買されている。

 インターネットユーザーは、Have I Been Pwnedで自身のメールアドレスを検索して、ハッキングされたかどうか確認できる。メールアドレスがデータ侵害と関連付けられている場合、それぞれの侵害の概要と、流出した情報が表示される。

 Hunt氏は2013年にサイトを立ち上げて以来、時間とエネルギーを含む多大なリソースをつぎ込んで、サイトを管理してきた。今ではサービスを拡大し、ドメイン名での検索や侵害アラートも提供している。

 将来の拡張性と持続可能性を確保するには、Hunt氏1人が運営者として関わるだけでは不十分だ。このため同氏は、ライフワークとも言えるこのサイトを拡張するために、買い手を探したこともある。

 しかし、合併・買収の試みは失敗に終わったため、同氏はHave I Been Pwnedのコードベースをオープンソースコミュニティーに公開するという別の選択肢を追求することにした。

 Hunt氏は米国時間8月7日のブログ記事で、Have I Been Pwnedはこれまでもコミュニティープロジェクトだったと述べた。すべてのデータセットが外部から提供されているほか、Cloudflareが同サイトの多くサービスを無料でホスティングしており、サイトで使用しているコードもコミュニティーの貢献によるものだという。

 「あのプロセス(買収)の唯一最も重要な目的は、Have I Been Pwnedのために、より持続可能な未来を模索することであり、その願いは変わっていない。このプロジェクトは、私だけに依存することはできない。しかし現在はそうした状況にあり、私がいなくなればサイトはすぐに衰え、消滅するだろう」(同氏)

 Have I Been Pwnedはセキュリティ環境を改善し、データ侵害の影響を受けた個人が、侵害されたアカウントのパスワードを変えたり、複数サービスで同じパスワードを流用してはいけないことを理解したりするなど、セキュリティへの姿勢を改善するために必要な知識を提供する狙いで開発された。

 こうしたことを念頭に置いたオープンソース化は、コードの一般公開によって、このコンセプトを強化できる。透明性によって信頼性を高められるほか、脆弱性を発見して、プラットフォームそのもののセキュリティを改善できる可能性がある。

 「山積みになっている未対応のことやバグ、人々が提案してくれているものの、実装できずにいる素晴らしいアイデアなど、コミュニティーが手助けしてくれるのであれば、ようやくプロジェクトに還元できる」と、Hunt氏は述べた。

 しかし、Have I Been Pwnedをそのままの状態で、GitHubに丸投げすることはできない。Hunt氏は、オープンソースコミュニティーとクラウドシステムの有能な人材と連携し、コードベースを段階的に公開する計画だという。このためプラットフォームが完全にオープンになるまでの、明確なタイムラインはない。

 データに関して言うならば、Have I Been Pwnedプラットフォームに必要な要素として、価値があるとは言え、それを所有すること自体グレーな領域にある。Hunt氏はオープンソース化に取り組む中、厳密なプライバシー管理は、「実行可能だが、容易な作業ではない」と述べた。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]