【KADOKAWA問題で話題】Googleの無料新サービス「ダークウェブレポート」を試したら想像以上の情報流出が判明…操作はカンタン、危険性の見極め方は？

　株式会社KADOKAWAに対する大規模なランサムウェア攻撃で、流出したデータの一部がダークウェブへと公開され波紋を呼んでいます。

　現時点で個人情報の流出が判明しているのは楽曲収益化サービスを利⽤している一部クリエイター、およびグループ会社である株式会社ドワンゴおよびその関連会社の従業員とされていますが、同社は全容について現在調査中としていることから、ニコニコのユーザ情報などが流出した可能性も否定できません。

　そのためユーザの中には、自分のデータが含まれていないかを調べるために、わざわざ危険なデータにアクセスしている人も少なくないようです。これらのデータにマルウェアなどが含まれていた場合、二次被害につながりかねず、極めて危険な行動と言えます。

　今回の件に限らず、自身の情報がダークウェブへと流出していないかを調べるには、Googleなどが提供している専用のモニタリングツールを用いるのが、有効な策と言えます。今回はこれらの使い方について紹介した過去記事を、改めて紹介します（初出：2023年10月13日　サービスの仕様や画面は当時のまま）

▼▼▼

　他人に知らせていないはずのメールアドレスに、不審なメールが飛んできた……というのはよくある話。さまざまな原因が考えられますが、よくあるのが、ウェブサービスなどへの登録に使用したメールアドレスが、サイバー攻撃などによって流出し、それが悪用されたというものです。

　インターネットの見えないところ、俗に「ダークウェブ」と呼ばれるインターネット空間では、こうした個人情報が何百万件単位で売買されています。近年ではFacebookやX（旧Twitter）、Dropbox、さらにはAdobeなどで、こうした大規模な流出が起こっており、それらを手に入れた第三者によるスパムメールは日常茶飯事です。

　いったん流出してしまったメールアドレスは、すでに元のサービスの管理下を離れてしまっているので、サービスを退会してもメールが止まることはありませんし、メールアドレスやパスワードを変更しても効果は限定的です。まずはどこから、どんな情報が具体的に流出しているのかを確認するのが大事です。

Googleが新たにスタートした「ダークウェブ レポート」

　このような、自分の個人情報がダークウェブに流出していないかをチェックできるサービスは複数存在していますが、今回新たにGoogleが「ダークウェブ レポート」なるサービスの提供を開始しました。今回はその使い方を、代替となるツールの紹介も踏まえつつ見ていきましょう。

「ダークウェブ レポート」は、Googleのサービス「Google One」に新たに追加されたサービスです。Google Oneは、GoogleドライブやGoogleフォト、Gmailに追加容量を提供するサービスで、名前は知らなくとも、すでに契約して使っている人も少なくないはずです（今回の「ダークウェブ レポート」は機能制限はありますが、「Google One」未契約のユーザも利用できます）。今回はスマホ版で試してみましょう。

　具体的な使い方は以下のスクリーンショットのとおりで、まずはGoogleアカウントにログインした状態で 「ダークウェブ レポート」 のページを開きます。表示されている項目をモニタリング対象に追加すると、ダークウェブのスキャンが実行され、流出の事実が確認できれば、その結果を教えてくれます。

　指定できるのは最大10件までのメールアドレスと、それらにひもづいた名前や生年月日、電話番号などが対象となります（Google One未契約の場合は1件のメールアドレスのみ）。

　今回、筆者がプライベートで利用しているメールアドレスを使って検索したところ、6件のデータ侵害と、それらの流出元とみられるウェブサービスが検出されました。これらを参考にすれば、各サービスに登録しているパスワードを変更したり、あるいは削除したりといった対策を取ることが可能になります。

メールアドレスだけなら危険はそれほどないが…

　気をつけたいのは、メールアドレスが単体で流出していても、それだけではせいぜいスパムメールが届く程度でしかなく、本当に危険なのは、これらとパスワードがセットで流出している場合だということです。サービスに不正ログインされてクレジットカードを勝手に利用されるといった直接的な被害に繋がるのはもちろん、パスワードをほかのサービスでも使い回していれば、被害は何倍にも膨れ上がります。

　こうした個人情報の流出をチェックしてくれるサービスは多数ありますが、調査のためにメールアドレスを入力すること自体、抵抗のある人もいるでしょう。たとえ運営元が信頼の置けるセキュリティ事業者でも、それ自体がフィッシングサイトである可能性はゼロではありません。Googleであれば、すでにログインした状態で、登録済みの情報を使うため、そうした危険性は低く、また継続的なチェックも行えるのが利点です。

Googleの「ダークウェブ レポート」を利用できない場合は？

　もっともGoogleを利用しておらず、どのチェックサービスを利用するにしても何かしらの情報を新規に入力せざるを得ないのであれば、パスワードの漏洩をチェックできる海外のウェブサービス 「Have I Been Pwned」 を利用することで、ほぼ同じ結果が得られます。

「Have I Been Pwned」の使い方は簡単で、トップページにある入力フォームにメールアドレスを入力して、「pwned？」ボタンをクリックするだけです。しばらく待つことで、同サービスが保有する大量の流出データの中から、該当するメールアドレスがあるかどうかをチェックし、流出元となるサービスと、具体的に流出した可能性がある項目が表示されます。

 

　この「Have I Been Pwned」が前述のGoogleのサービスと違うのは、流出した具体的な情報を表示するのではなく、その項目名だけを表示してくれることです。Googleのサービスでは、流出した情報について、全体を伏字にしつつ先頭の何文字かを表示することで、本人が見ればどの情報が流出したか判別できるようになっていましたが、このサービスは「Email addresses, Passwords, Usernames」といった具合に、教えてくれるのはあくまで項目名のみです。

　もともとこのサービスは、どの事業者からどれだけの規模でデータ流出が発生したかというインシデント情報をまとめたもので、メールアドレス以外についてはあくまでも「流出した可能性のある項目」しか表示できないというわけです。なによりログインしている本人しか利用できないGoogleと違い、こちらのサービスは第三者のメールアドレスでも検索できてしまうので、そこで具体的な情報が見えてしまっては大問題です。

FBIがデータを提供し、各国政府も利用を明言するサービス

　一方、こちらのサービスは、メールアドレスとともにパスワードが流出したか否かにフォーカスしているので、もし今回の例のように流出ありと判定された場合は、対応はより急務となります。またチェック完了後も、新たな流出が見つかった場合にメールで知らせてくれる機能も提供していますので、より便利に使えます。

　ちなみにこの「Have I Been Pwned」は民間のサービスですが、かつてMicrosoftに勤務していたエンジニアが立ち上げた老舗のサービスで、FBIなどの組織もデータを提供しているほか、複数の国の政府が利用を明言しているとあって、一定の信頼性がおけます。前述のGoogleのサービスが利用できない場合、まず試してみるべきサービスと言っていいでしょう。

（山口 真弘）