読み方 : ハブアイビーンポウンド
Have I Been Pwned【HIBP】
Have I Been Pwnedとは?
サイト上でメールアドレスや電話番号を入力すると過去の漏洩事案に該当するものがあるか検索し、存在すれば事案の名称、発生日、流出したデータの種類が一覧表示される。流出対象にはメールアドレスのほか、ユーザー名、パスワード、電話番号、生年月日、IPアドレスなどが含まれる場合がある。メールアドレスを事前登録しておくと、新たな漏洩が確認された際に通知を受け取る機能も提供している。
パスワードの照合機能も備えており、特定の文字列が過去の漏洩データに含まれているかどうかを確認できる。この際、パスワードそのものはサーバへ送信されない。ハッシュ値の一部だけを用いて照合する「k-匿名性」という手法を採用しており、入力内容が運営側に渡らない設計になっている。
大手IT企業や大手SNSなど世界規模のサービスから流出した数十億件規模のアカウント情報を収集・整理しており、ハッカーが公開したリストや闇サイトで取引されたデータなどが収集源となっている。サービス自体が情報を盗取しているわけではなく、すでに外部に流出しているデータを集約・検索可能にしたものである。
企業などの組織向けにはAPIも公開されており、自社ドメインのアカウントを一括照合したり、ログイン時に漏洩済みパスワードの使用を検出・拒否したりする仕組みに組み込まれる事例がある。多くのパスワード管理ソフトやWebブラウザもこのデータベースと連携する機能を持つ。2024年には米連邦捜査局(FBI)やオーストラリア連邦警察とも連携し、犯罪捜査で押収されたデータベースの情報を取り込む取り組みも行われている。
共有ボタンをタップ