ダークウェブ監視とは——漏洩した認証情報が売買される仕組みと監視方法
ダークウェブでパスワードが売買される仕組みを解説。無料・有料の漏洩監視サービスの比較と、漏洩を検知した際の対応手順も紹介。
ダークウェブとは何か
ダークウェブとはTorなどの匿名化ネットワーク上にある、通常の検索エンジンにインデックスされないWebサービスの総称だよ。合法・違法さまざまなコンテンツがあるが、漏洩した個人情報・パスワード・クレジットカード情報などが大量に売買されていることで悪名高い。
パスワードはダークウェブでいくらで売られる?
価格はサービスや情報の新鮮さで変わるが、一般的な相場はこうなっているよ(2024年の調査より)。
| 情報の種類 | 相場価格 |
|---|---|
| メールアドレス+パスワードのセット(古い) | 0.1〜1ドル/件 |
| ネットバンキングの認証情報 | 10〜100ドル/件 |
| クレジットカード情報(フル) | 5〜20ドル/件 |
| パスポートや運転免許証のスキャン | 30〜100ドル/件 |
漏洩を検知するための監視ツール
無料で使えるサービス
Have I Been Pwned(haveibeenpwned.com) セキュリティ研究者のTroy Hunt氏が運営する、最も信頼性の高いサービスだよ。メールアドレスを入力すると過去の漏洩に含まれているか確認できる。メールアドレス登録で新しい漏洩が起きた時に通知も届く。
Google パスワードチェックアップ
Chromeに保存されているパスワードが漏洩リストに含まれていないか自動でチェックしてくれるよ。passwords.google.com でいつでも確認できる。
Apple iCloud キーチェーン(セキュリティ勧告) iPhoneの設定→パスワードで漏洩検知済みのパスワードが赤マークで表示される。
有料サービス
Bitwarden(有料プラン) パスワードマネージャーとして使いながら、保存している認証情報の漏洩をリアルタイム監視できるよ。
1Password Watchtower 保存したパスワードの中から漏洩・脆弱・使い回しを検知して一覧表示してくれる機能だよ。
Keeper BreachWatch ダークウェブを積極的にスキャンして、登録メールアドレスに関連する漏洩情報を通知してくれる。
漏洩を検知した際の対応
- 該当サービスのパスワードを即変更する
- 同じパスワードを使っているサービスを洗い出して変更する
- 2FAが未設定なら即設定する
- 金融情報が含まれる場合はカード会社に連絡する
定期的にHave I Been Pwnedで自分のメールアドレスをチェックするだけでも、被害の早期発見に大きく役立つよ。
作ったパスワードは頭で覚えるのではなく、マネージャーに任せると安全です。 編集部がふだん使っているサービスをご紹介します。
洗練されたUI・Watchtower侵害通知・旅行モード搭載。Apple製品ユーザーに特に人気の老舗マネージャー。
オープンソースで透明性が高く、無料プランでも基本機能をフルに使える。セルフホストも可能。
SOC2 Type2認証取得済み。BreachWatch によるダークウェブ監視と法人向け管理コンソールが強力。
NordVPN 系列の老舗。XChaCha20 暗号化・データ漏洩スキャナ・パスワードヘルスを内蔵。日本語UI対応。
スイス拠点・Proton Mail 系列。E2E 暗号化・メールエイリアス・2FA を1つに統合。プライバシー重視派に。