Mozillaは火曜日、ユーザーが自分の電子メールアドレスが侵害されていないか確認できるようにテストしてきた「Firefox Monitor」というサービスを発表した。
「あなたのメールアドレスや個人情報が、過去に公表されているデータ侵害に関係していた場合はお知らせします」と、MozillaのFirefox製品担当副社長、ニック・グエン氏はブログ記事で述べています。「メールアドレスが侵害された場所がわかったら、パスワードと、そのパスワードを使用している他の場所も変更してください。」
Firefox Monitorは、基本的にHave I Been Pwned (HIBP)のラッパーです。HIBPは、流出したデータに含まれていた数十億件のメールアドレス(およびパスワード)を収録した広大なデータベースです。MonitorはFirefoxのダウンロードリンクを含む入力フォームで構成され、ハッシュ化されたメールアドレスをHIBPに送信し、返されたデータに対して若干の処理を行います。
その主な利点は、データをエンコードするための数学的メカニズムであるハッシュ化にあります。このサービスは、送信されたメールアドレスのSHA-1ハッシュを作成し、最初の6文字([email protected]例えば、567159は になります567159D622FFBB50B11B0EFD307BE358624A26EE)を取り出し、HIBPのハッシュ範囲クエリAPIに送信します。HIBPは、メールアドレス全体を処理することなく、6文字の文字列に一致する可能性のある範囲を返します(一致する可能性のある文字がある場合)。
Mozilla、Firefoxのポリシーを「追跡しない」から「追跡しない」に変更
続きを読む
Firefox Monitorは、提供されたリストを反復処理し、メールアドレスのハッシュ値と一致するものを検索します。見つかった場合、問題のメールアドレスがデータダンプで検出されたことをユーザーに通知します。つまり、アカウント所有者はハッキングを防ぐためにパスワードを変更する必要があるということです。
HIBPはFirefox Monitorがなくても問題なく動作し、1Passwordなどの他の製品にも統合されています。しかし、他のシステムでは、メールアドレスをハッシュ化せずにサイトに直接送信する必要があります。これは、メールアドレスとパスワードがオンラインで既に漏洩していないかを確認する際に、古風な懸念事項のように思えるかもしれません。しかし、一部の人にとっては重要な問題となるかもしれません。
Mozillaの広報担当者はThe Register宛の電子メールで、Firefoxはインターネットユーザーがより簡単にサービスにアクセスできるようにするために、HIBPを運営するTroy Hunt氏と提携したと説明した。
「最初のステップは、HIBP にデータを持ち込み、それを当社の Web サイトと Firefox ユーザー向けの製品内通知を通じてユーザーに公開することです」と Mozilla の広報担当者は語った。
現時点での違いは、機密性の高いサイトは、お客様の安全を守るため、メールアドレスの確認が済んだ後にのみ送信されます。今後、Firefoxや開発中の製品に、この機能をより深く統合していく予定です。®
