自分の個人情報が「ダークウェブ」に流出!?チェックする方法とは

　「個人情報流出」のニュースは、常に世間を騒がせています。

　たとえばこの6～7月には、某大手出版社のサーバーが、ランサムウェアの攻撃を受けたことが大きな話題を呼びました。この攻撃によって、グループ会社の従業員や顧客の個人情報が漏えいした可能性が高く、同社は対応に追われています。

　これ以外にも、7月には全国の水道の点検・保守を担う企業が不正アクセスを受けたことで、顧客企業や一般消費者、従業員の個人情報が流出した可能性があると発表。同社に業務を委託している全国各地の水道局も、同様の内容を発表しています。

　こうしたサイバー攻撃によって流出した個人情報は、本人の知らぬ間に何者かに悪用される恐れがあります。たとえばメールアドレスやパスワードが使われて、会社のクラウドサービスにログインし、機密情報を盗まれるといったことも十分に起こり得ます。

　流出した個人情報は、「ダークウェブ」で販売される恐れもあります。

　ダークウェブとは、特殊なソフトウェアを使用しないとアクセスできない、非合法の情報が集積するウェブのことで、違法な薬物やソフトウェア、偽札や偽のパスポートなど、犯罪性の高い商品が流通する空間です。

　このダークウェブでは、情報漏えいによって流出した個人情報が売買されることもあります。ある調査によると、たとえばクレジットカード単体の番号だけの場合よりも、住所や職業、年収など複数の情報が結びついたクレジットカードの方が高額になるといいます。

　こうして売買された個人情報は、盗難や詐欺、なりすましといった犯罪に悪用される恐れがあります。個人情報の流出は、ダークウェブを経由することで、新たな犯罪を生む誘因になりかねないため、企業は何としても流出を防ぐ必要があります。

　自分の個人情報がダークウェブにしているかどうか、気になっている人も多いでしょう。ダークウェブは前述の通り、基本的には一般ユーザーはアクセスできませんが、自分がダークウェブに侵入しなくても、ダークウェブへの個人情報流出がチェックできるツールが存在します。

　その1つが、Googleの「ダークウェブレポート」です。これはGoogleの有料サービス「Google One」向けの機能ですが、7月下旬より一般ユーザー向けGoogleアカウントにログインしているすべてのユーザーが利用できるようになりました。

　利用方法は、Google Oneのページにアクセスし、「ダークウェブレポート」というアイコンをクリックするだけです。もしダークウェブへの漏えいが発見された場合は、メールアドレスやパスワードなど、どの情報が流出したのか、結果が表示されます。この場合、「推奨される次のステップ」として、「パスワードを変更する」など、次に行動すべき具体的なステップが案内されます。なお、Google One メンバーシップに登録した場合、電話番号、自宅の住所など、さらに詳しい個人情報の調査が可能になります。

　このほか、「Have I Been Pwned?」（略称：HIBP）というサイトでは、メールアドレスが流出しているか否かがチェック可能です。HIBPは2013年に開設された老舗サイトで、サイト中央の入力欄に自身のメールアドレスを入力し、その右側にある「pwned?」というボタンを押すことで、そのメールアドレスがどこから流出したのかが表示されます。

　もしこれらのサイトでメールアドレスの流出が確認された場合は、当該メールアドレスをサインインのユーザー名として使用しているWebサービスにアクセスし、パスワードを変更したり、認証に二要素認証を導入するなど認証を厳しくするといった対策が求められます。

　しかし、一度ダークウェブに流出した情報を、ダークウェブから削除することは困難です。そもそもダークウェブは匿名性の高い空間のため、誰がその情報を流出させたのか、その尻尾を掴むことは相当な困難を伴います。

　たとえメールアドレスやパスワードがダークウェブに流出し、悪意のある何者かがログインを試みようとしても、新たに設定したパスワードや二段階認証が突破されない限り、アカウントが悪用されることはありません。流出が確認された場合は、落ち着いて悪用されないための対処を進めるのが良いでしょう。