私のデータは大丈夫、かな

先日、Facebookで大規模な流出が話題になりました。
Facebookは日本でもユーザが多いと思いますので、ユーザの皆さんは思ったことと思います。
「私のデータは大丈夫？」

こんなときみなさんは次に何をするのでしょう。
何らかの方法で自分のデータが対象なのかを確認するのだと思います。
そんなときに使われることの多い方法の一つに、「Have I Been Pwned？」があります。

このサイトは無償で利用でき、流出したかもしれない情報の文字列を入力するだけで簡単に流出したかを調べることができます。

でも、これまではこのサイトでの検索機能で電話番号を使った検索は出ませんでした。
というのも、電話番号は表記方法に幅があり、単なる文字列として検索した場合に実際にはそのデータがあったとしてもないかのように見えてしまう問題が発生しうるからでした。
このためこれまでは電話番号での検索は実装されていませんでした。

しかし今回のFacebookの件では流出したデータの様子がこれまでの流出したデータとは様子が異なりました。
これまでの他の流出の場合は名前とメールアドレスの組み合わせを主とする情報が多かったのです。
しかし今回は5億件以上のデータに対し、メールアドレスが含まれる件数は数百万件にとどまる内容だったのです。
もちろん数百万件も非常に多いわけですが、自分のデータが対象かを調べるときにメールアドレスを使って確認すると、自分のメールアドレス付きでの情報流出があったかどうかは確認できるのですが、自分の電話番号付きでメールアドレス無しの情報流出があったのかについては調べることができない、ということになってしまったのです。

その後、Have I Been Pwned？の中の人は、いろいろな検討の結果、今回の流出の件に関して電話番号での検索ができるようにデータを追加したそうです。
これにより、今回の件については電話番号での流出確認ができるようになりました。

現時点では他の流出情報のデータとしては電話番号のデータは登録されていないそうですのでこの機能の利用は今回の件に限られたものとなりますが、今後も同様に影響の大きいケースについては電話番号での調査もできるようにすることも検討するということでした。

ある方法で流出を調べて「ない」と出たからと言って、簡単には安心できない、ということですね。

防御側のシステムの中の人もがんばっているんだな、と思うニュースでした。