過去に起こった個人情報流出で、自分のメールアドレスやユーザー名から自分の個人情報が流出しているかどうかをチェックできるサイト「Have I Been Pwned?」が2023年で設立10周年を迎えたと、設立者のトロイ・ハント氏が明らかにしました。

Troy Hunt: A Decade of Have I Been Pwned

https://www.troyhunt.com/a-decade-of-have-i-been-pwned/



「Have I Been Pwned?」設立直後の2012年12月4日に投稿されたツイートが以下。



2014年に週刊誌のTIMEが「今年のウェブサイトベスト50」の1つに挙げ、2018年にはIT系ニュースサイトのGizmodeがHave I Been Pwned?を「私たちが知っているインターネットを形成したウェブサイト100選」に選び、その他さまざまな報道機関がHave I Been Pwned?を取り上げました。そのため、このpwnという動詞は今やHave I Been Pwned?を意味する言葉になりつつあるとハント氏は述べています。

そもそも「Have I Been Pwned?」という名前に含まれる「pwnd」は、インターネットが発明される数十年前の1935年に行われたチェスの試合から来ているといわれています。試合に参加したグランドマスターのアレクサンダー・アレヒンは前日に少し飲み過ぎたようで、酔いを残したままで対戦相手のマックス・ユーヴェに向かって「お前のナイトにポーン(pawn)してやる!」と叫んで平手打ちしたという逸話があります。

1960年代に入り、マサチューセッツ工科大学(MIT)でコンピューターサイエンスを学ぶ学生たちの間で、チェスプログラムの開発がこぞって行われてました。学生たちはプログラム同士を勝負させていたそうですが、その時点で、「誰かを引きずり下ろすこと」という意味で動詞「pawn」が使われていたとのこと。

そして、1980年代後半に生まれた初期のハッキング文化で、他人のコンピューターの管理制御を取得した際に「own(所有する)」という言葉が使われていたのですが、「O」と「P」がキーボードで隣同士にあったためか、「pwn」という入力ミスがスラングとして定着。そこに「pawn」という言葉の意味も重なり、「pwn」が「データを不正に乗っ取ったり詐取したりする」という言葉の意味を持つようになったそうです。

もはや動詞の意味として認識されるほどに知名度が高いHave I Been Pwned?ですが、これまでの10年間で順調に運営されてきたわけではありませんでした。2019年にハント氏は、Have I Been Pwned?の売却を考え、自ら買い手を募集していました。

無料で自分のメールアドレスが流出しているかどうかを教えてくれる「Have I been pwned?」が買い手を募集中 - GIGAZINE



Have I Been Pwned?の買収にはなんと141社もの企業が名乗りをあげましたが、最終的にハント氏はHave I Been Pwned?の売却をやめ、従来通り1人で運営を続けていくと発表しています。

個人情報流出確認サイト「Have I Been Pwned?」買収に141社が名乗りを上げるも売却は取りやめに - GIGAZINE



ハント氏によると、この裏にはハント氏自身が離婚問題で精神的なストレスを抱えていたとのこと。しかし、元妻との長年にわたる苦しい法廷闘争に加わって、Have I Been Pwned?の売却プロジェクトは逆に精神的負荷を増やしたそうです。最終的に売却する契約自体は締結したものの、契約の履行は失敗に終わり、自然と売却する話はなくなったとのこと。

また、ハント氏はFBIがHave I Been Pwned?に積極的にデータを提供するようになるとは思っていなかったと述べています。FBIだけではなく、世界各国の法執行機関も同様にデータを提供しているとのこと。ハント氏は「数十カ国の政府がHave I Been Pwned?の利用について喜々として話し合う時代がくるとは想像もしていませんでした」とコメントしています。

2023年4月にFBIからハント氏がもらった感謝状と記念バッジ



ハント氏はHave I Been Pwned?のデータベースにパスワード情報を含めるべきではないと主張していました。しかし、侵害されたパスワードリストを公開することは社会貢献という意味では理にかなっていると考えたハント氏は、「Pwned Passwords」という検索サービスを2017年に別途スタートさせています。ハント氏によれば、Pwned Passwordsには2023年11月第4週だけで3億160万件の検索リクエストがあったとのこと。

無料で自分のパスワードが過去の漏洩データに載った危険なものかどうかをチェックできるサービス「Pwned Passwords」 - GIGAZINE



ただし、Have I Been Pwned?やPwned Passwordsについて、プライバシーを侵害しているという指摘は「インターネットの有象無象」からこれまでに多くあったとのこと。「データを盗み出したとしてFBIに通報します!」と申し入れしてくる人については、ハント氏は毎回「『トロイ・ハント FBI』でググってみるといいですよ」と答えているそうです。

しかし、Have I Been Pwned?に対して、政府のプライバシー規制当局を通じて正当な苦情を申し入れしてきたのはこの10年間でたったの1件だったそうで、ハント氏は苦情で指摘された部分や質問に対して丁寧に回答したところ、それですべてが終わったそうです。

ハント氏は会社を設立してHave I Been Pwned?を運営しようと考えたこともあったそうですが、さまざまな理由からうまくいかず、ほぼ一人で続けてきたプロジェクトだとのこと。

しかし、新しいパートナーの助けもあって、2021年頃からHave I Been Pwned?を法人化し、組織運営やコードの作成・クリーンアップを他の人と分担できるようになっているそうです。ハント氏の配偶者であるシャルロット氏は法人化したHave I Been Pwned?のCOO(最高執行責任者)を務めています。



コードの作成やクリーンアップなどは、Stefán Jökull Sigurðarsonがパートタイムで担当してくれているとのこと。



ハント氏は「今のところ私は、さらなる情報漏洩が起こるということだけは確信しています。近年はランサムウェアという惨劇が加速しているように思うと何度もコメントしてきましたが、そこで奪われたメールや文書、その他さまざまなデータに含まれる人々の何割が、自分たちの情報がインターネットに暴露されていることを知るのでしょうか?そのインデックスを作成するのはますます価値のある作業だとも思えます。明日の朝、起きたときにどう感じるか楽しみです」とコメントしています。