ネットから流出した個人情報は、一般にはダークウェブと呼ばれる、検索エンジンではインデックス化されていないウェブサイト群で流通することが多い。いま世間を騒がせているKADOKAWAへのランサムウェア攻撃によって流出したとみられる個人情報も、このダークウェブが発信源となっている。

ダークウェブにアクセスするには、VPNを経由し、匿名ブラウザを用いるなどの最低限の準備は必須だが、仮にそれらの手順を踏んだとしても、自分の個人情報が流通していないかを自ら確認しに行くのは危険だ。個人情報の流出をチェックできる専用ツールを使って検索し、万一流出が確認されれば二要素認証を導入したり、セキュアなパスワードに変更するなどの対策を行うのが望ましい方法だ。

これらチェックツールの多くは企業が無料で公開しているが、自社の有料サービスへの誘導を目的に、流出が確認された件数だけを表示する機能限定のサービスもあれば、流出元のサイト、流出時期、さらには流出が確認された具体的な項目までを教えてくれ、すぐに対策に役立てられるサービスもあったりと、千差万別だ。

今回は、こうしたダークウェブへの流出をチェックできるサービスのうち、オンラインで無料で使えるサービスを7つ紹介する。

「7選」という形を取ってはいるが、対策につなげられる実用的なサービスは最初の3つだけで、残りの4サービスは流出があったか否かを判断する以上の対応は(少なくとも無料版では)難しい。いざという時にどのサービスを使うべきなのか判断するために、そうした機能の違いに着目してお読みいただきたい。

Google「ダークウェブ レポート」

Googleの「ダークウェブ レポート」は、その名の通りダークウェブをモニタリングし、対象のメールアドレスが漏洩していないかをレポートしてくれるサービス。

従来はGoogle Oneのメンバーのみ利用でき、一般のGoogleユーザに提供されるのは一部機能のみだったが、2024年7月下旬以降は一般ユーザにも機能が開放されることが予告されている。

メールアドレス以外に名前や生年月日、電話番号、住所など個別の情報についてもチェックでき、さらにそれら流出データが(一部は伏字ではあるものの)具体的に表示されるため利便性は高い。またGoogle以外を含む最大10個までのメールアドレスについて、継続的なレポーティングが受けられる。ログインした上で利用する利点を最大限活かしたサービスと言えるだろう。

  • 利用にあたってはGoogleにログインしている必要がある。右下の「スキャンの実行」をクリック

  • ダークウェブで検出された件数が表示される。「すべての結果を表示」をクリック

  • 流出元の具体的なサービス名と日付、さらに流出した項目が表示されている

  • クリックすると実際に流出した具体的な内容が表示される。ほかのサービスにはない利点だ

「Have I Been Pwned」(HIBP)

「Have I Been Pwned(HIBP)」は、入力したメールアドレスがデータ侵害に遭っていないかをチェックできる無料サービス。

過去に発生した流出事故の膨大なデータを保有しており、入力したメールアドレスが含まれていた場合、具体的な流出元のサービス名と流出までの経緯、および流出した項目が表示される。ログイン不要で使えるが、メールアドレスを登録しておけば、新たな流出が発生した時にメールで通知してくれる機能も備える。

運営者が元MSエンジニアの個人という異色のサービスだが、同種のサービスの先駆けにあたる存在であり、圧倒的なデータ量を活かして他サービスへのデータ提供も行っている。日本からの利用時にネックなのは英語版であることで、流出経緯などを詳しく読み解くには、翻訳ツールなどの手を借りる必要があるだろう。

  • 利用にあたりログインは不要。メールアドレスを入力して「pwned?」をクリック

  • 流出実績があるメールアドレスだと「Oh no ― pwned!」と表示され、具体的な流出元のサービス名、および流出の経緯が表示される。下段には流出した項目も表示される

Mozilla「Mozilla Monitor」

「Mozilla Monitor」はMozillaが提供している、データ侵害の有無をチェックできる無料モニタリングサービス。

「Have I Been Pwned」の漏洩データがもとになっており、メールアドレスを入れて「無料でスキャン」をクリックすると、流出が確認されたサービス名、日付、具体的な項目がダッシュボードに表示される。サイトは英語だが、英語が苦手でも理解できるレベルだ。

Mozillaアカウントによるログインが必須で、非ログインだと侵害の有無すらも表示されないのはネックだが、最大5つまでのアドレスをチェックできるほか、対策が完了したサービスにチェックを入れ、ダッシュボードの完了済み(Fixed)へと移動できるので、要対策(Action needed)のページを日々チェックし、新規に情報漏洩が見つかるたびに対策していけるルーティンが確立できる。他サービスと比べた場合の大きなメリットだ。

  • メールアドレスを入力して「無料でスキャン」をクリックする。なお本文の多くは英語となる

  • ダッシュボードに流出が確認されたサービス名、日付が表示される。クリックすると具体的な項目も見られる

  • 漏洩までの経緯を記したページを見ると、事故発生日とデータベース追加日の違いも確認できる。データ提供元が「Have I Been Pwned」であることも明記されている

  • 対策を終えたらダッシュボードの完了済み(Fixed)へと移動させ、要対策(Action needed)のページに項目を残さないようにするとよい。ほかのサービスにはない実用的な機能だ

ノートン「個人情報流出チェックページ」

ノートンが運営する「個人情報流出チェックページ」は、メールアドレスが流出しているかを無料で診断できるサービス。「予備的に」とうたっているように情報は限られており、流出した項目および日付は表示されるものの、具体的にどのウェブサービスから流出したのかは伏せられている。

また流出があったと表示される項目には、日付から推測される流出元サービスからは流出していないはずの項目が含まれていたりと、同種のサービスとは見解の相違も見られる。無料版ではこれらの詳細を確認できず、あくまでも流出の有無だけをチェックするサービスと考えたほうがよさそうだ。

  • 「5秒で「個人情報」流出チェック!」というランディングページ経由でされている。「メルアド流出を今すぐチェック」というボタンをクリック

  • メールアドレスを入力し、「私はロボットではありません」にチェックを入れたのち「チェックする」をクリック

  • 表示されるのは流出が確認された件数と日時、項目のみ。具体的にどのサービスから流出したのかは表示されない。またGoogleやHIBPでは流出なしとされていたパスワードが流出したことになっていたりと見解の違いも目立つ

トレンドマイクロ「個人情報の流出チェック」

「個人情報の流出チェック」は、トレンドマイクロが運営する「トレンドマイクロ ID プロテクション」の一機能で、メールアドレスを入力して検索することにより、流出のあったサービス名、日付、流出したデータの種類を記したレポートが出力される。

同社アカウントによるログインを行わなければ結果が表示できないのはレポートの性質上致し方ないが、未ログインでは流出があったか否かすらも表示されず、ややストレスが溜まる。

また同アカウントの削除はマイページ上からは行えず、登録時に入力したメールアドレス・電話番号などを記載してメールやチャットで連絡しなくてはならないことから、同種のサービスと比べるとハードルは著しく高い。こうした点も踏まえて、利用すべきか否かを判断すべきだろう。

  • まずはメールアドレスを入力して検索を実行

  • レポート表示のためにログインするよう促される。アカウントのない場合はここで作成する必要がある

  • ログインするとレポートが表示される。流出が確認されたサービス名、日付、流出したデータの種類が表示されている

  • クリックするとより詳細な情報があるのかと思いきや、どれも同じ文面で、一般的な対策が書かれているのみ。やや拍子抜けだ

@nifty「1クリックで出来る個人情報流出チェッカー」

「1クリックで出来る個人情報流出チェッカー」は@niftyが提供する「@niftyセキュア・プライバシー」の一機能として公開されている無料オンラインサービス。メールアドレスを入力して検索することで、メールアドレスに関連付けられた個人情報がインターネット上に流出していないかチェックできる。

もっとも表示されるのは流出が確認された件数だけで、具体的な項目はもちろん、対象のサービス、対象日についても表示されず、有料サブスクリプションサービスである@niftyセキュア・プライバシーへの申込みページへと誘導されるだけ。流出の有無をチェックするだけのサービスということになる。なお有料版では最大5つのメールアドレスを登録できる。

  • メールアドレスを入力して「侵害を確認する」をクリックする

  • 侵害があればその件数が表示されるが、機能はこれだけ。具体的な情報は何もない

Keeper「無料ダークウェブスキャン」

「無料ダークウェブスキャン」はパスワードマネージャで有名なKeeperが提供するツールで、同社の「Keeper Security」の一機能であるダークウェブスキャンツール「BreachWatch」をオンラインで提供している。メールアドレスを入力することで、自分の認証情報がダークウェブ上に存在するかをチェックできる。

情報漏洩が見つかった場合は「スキャン結果を表示」ボタンを押すことで漏洩の件数を表示できるが、詳細な項目については表示されず、ダークウェブモニタリング機能が付属したサブスクリプションプラン「Keeper’s Password Manager」の購入ページへと誘導される。こちらも流出の有無をチェックするだけのサービスと見たほうがよさそうだ。

  • メールアドレスを入力して検索を実行する

  • 漏洩が確認されるとそれを知らせるメッセージが表示されるので「スキャン結果を表示」をクリック