22章ツール：監査

ユーザや組織は、通常アカウントの監査を継続的に実施している。これにより、データ侵害の際にメールアドレスやパスワードが漏洩していないかの確認が可能となる。一度メールアドレスが盗まれるとフィッシング攻撃に悪用されてしまう可能性があるため、これは重要なことである。データ侵害の際に、その他のユーザを特定する情報が漏洩してしまっていれば、危険性は増大する。漏洩したパスワードはパスワードやハッシュのディレクトリに登録されてしまう。こうしたパスワードを使い続けている場合、それがアカウントと関係ないものであっても、アカウントが攻撃に対して脆弱になってしまう。

本章では、「Have I Been Pwned」（https://haveibeenpwned.com）というWebサイトを活用して、ユーザアカウントの監査を行う。要件は次のとおり。

• haveibeenpwned.comに問い合わせを行い、パスワードが既存のデータ侵害と関連しているかを確認する。
• haveibeenpwned.comに問い合わせを行い、メールアドレスが既存のデータ侵害と関連しているかを確認する。

22.1　Have I Been Pwned

このWebサイトhttps://haveibeenpwned.comはユーザ自身でメールアドレスやパスワードが大規模なデータ侵害によって盗難されているかを確認することができるオンラインサービスである。サイトはREST APIを提供しており、パスワードのSHA-1ハッシュもしくはメールアドレスを用いてデータベースを検索することが可能である。検索にサインアップやAPIキーの利用などは必要ないが、同一IPアドレスから1,500ミリ秒間隔以上の頻度でリクエストを行うことができない。 ...