160億件のパスワード漏洩：あなたのアカウントが含まれているか確認する方法

2026年1月、セキュリティ研究者が約160億件のユーザー名とパスワードの組み合わせを含む30の保護されていないデータベースを発見しました。史上最大の認証情報漏洩です。流出したデータにはGoogle、Apple、Facebook、GitHub、Telegram、さらには政府プラットフォームのログイン情報も含まれています。

インターネットを利用している方は、あなたの認証情報がこの漏洩に含まれている可能性が高いです。

何が流出したのか

流出した内容：

• 30のデータセットにまたがる160億件のログイン認証情報
• 一部のデータセットには各35億件以上のレコードが含まれる
• ほぼすべての主要オンラインサービスの認証情報
• 過去の漏洩データと最新のインフォスティーラーログの両方
• 多くの場合、セッショントークン、Cookie、メタデータも含まれる

これは単なる過去の漏洩データの再利用ではありません。研究者は悪用可能な形で新たに編集された構造化データを発見しており、アクティブなセッショントークンを含む最近のインフォスティーラーマルウェアのログも含まれています。

自分の情報が漏洩したか確認する方法

ステップ1：Have I Been Pwnedで確認

haveibeenpwned.comにアクセスしてメールアドレスを入力してください。このデータベースは漏洩データで定期的に更新され、どの漏洩にあなたの認証情報が含まれているか教えてくれます。

ステップ2：パスワードマネージャーの漏洩モニターを使用

ほとんどのパスワードマネージャーが漏洩モニタリングを提供しています：

• 1Password：Watchtowerが漏洩したアカウントを警告
• Bitwarden：データ漏洩レポートで露出した認証情報を確認
• Dashlane：ダークウェブモニタリングで情報をスキャン
• Googleパスワードマネージャー：passwords.google.comでパスワードを確認

ステップ3：LINE・Yahoo!のセキュリティ確認

国内サービスの場合：

1. LINE：設定 → アカウント → ログイン中の端末
2. Yahoo! JAPAN：登録情報 → セキュリティ → ログイン履歴
3. 不審なアクセスがあれば直ちにパスワードを変更

ステップ4：金融口座のモニタリング

既知の漏洩にメールが表示されなくても、銀行やクレジットカードの明細で不正な活動をモニタリングしてください。攻撃者は金融サービスで最初に認証情報をテストすることが多いです。

漏洩が確認されたらやるべきこと

即座の対応

1. 漏洩したパスワードを直ちに変更

最も重要なアカウントから始めてください：

• メールアカウント（パスワードリセットに使用される）
• 銀行および金融サービス
• クラウドストレージ（Googleドライブ、iCloud、Dropbox）
• SNSアカウント

2. すべての場所で2段階認証を有効化

攻撃者がパスワードを持っていても、2FAが不正アクセスをブロックします：

• SMSより認証アプリ（Google Authenticator、Authy）を使用
• 重要なアカウントにはハードウェアキー（YubiKey）を検討
• まずメールで2FAを有効化 — 他のすべてのマスターキーです

3. 不正アクセスの確認

アカウントの最近のアクティビティを確認：

• Google：myactivity.google.com
• LINE：設定 → アカウント → ログイン中の端末
• Yahoo! JAPAN：登録情報 → セキュリティ → ログイン履歴

4. 不審なセッションを取り消す

認識できないすべてのデバイスとセッションからログアウトしてください。ほとんどのサービスに「すべてのデバイスからログアウト」オプションがあります。

長期的な保護

すべてのアカウントに固有のパスワードを使用

認証情報漏洩が危険な理由はパスワードの再利用です。複数のサイトで同じパスワードを使用すると、1回の漏洩ですべてのアカウントが危険にさらされます。

パスワードマネージャーを使用して、すべてのアカウントに固有で強力なパスワードを生成・保存してください。

パスキーへの切り替えを検討

パスキーはフィッシングに強く、データ漏洩で流出することがありません：

• Google、Apple、Microsoftがパスキーをサポート
• パスワードの代わりに生体認証（指紋、顔）を使用
• パスワードがなければ盗むものもない

漏洩アラートの設定

• Have I Been Pwnedの通知を有効化
• パスワードマネージャーの漏洩モニタリングをオン
• Googleダークウェブモニタリングを設定

今後の認証情報の安全な共有方法

認証情報が漏洩する理由の1つは安全でない共有方法です。人々がパスワードを貼り付ける場所：

• LINEやSlackメッセージ（サーバーに保存される）
• メール（暗号化されていないことが多く、検索可能）
• テキストメッセージ（クラウドにバックアップされる）
• 共有ドキュメント（永続的なアクセス）

安全で有効期限のあるチャネルを使用

誰かとパスワードを共有する必要がある場合：

1. 通常のメッセージでパスワードを平文で送信しない
2. 両者が同じマネージャーを使用している場合はパスワードマネージャーの共有機能を使用
3. 一回限りの共有には自動削除される安全なメモを使用

LOCK.PUBのようなサービスを使用すると、パスワードで保護されたメモを作成できます：

• 一度読むと自動削除
• 設定された時間（1時間、24時間）後に期限切れ
• 閲覧後に再度アクセス不可

ワークフロー例：

• パスワードを含む安全なメモを作成
• 1時間で期限切れに設定
• 1つのチャネルでリンクを送信
• 別のチャネルでアクセスパスワードを送信
• 閲覧後、認証情報を再取得できない

大きな視点

この160億件の認証情報漏洩は、より大きな問題の症状です：パスワードは根本的に脆弱です。

主な統計：

• 94%のパスワードがアカウント間で再利用されている
• NISTの複雑性要件を満たすパスワードはわずか3%
• 認証情報ベースの攻撃が全漏洩のほぼ半分を占める

業界はパスキーとパスワードレス認証に移行しています。それまでの間：

• すべての場所で固有のパスワードを使用
• すべてのアカウントで2FAを有効化
• 定期的に漏洩をモニタリング
• 安全で有効期限のあるチャネルでのみ認証情報を共有

今すぐ確認してください

不正な請求やロックされたアカウントに気づくまで待たないでください。今日10分を使って：

1. haveibeenpwned.comでメールアドレスを確認
2. パスワードマネージャーの漏洩レポートを実行
3. 最も重要な10個のアカウントで2FAを有効化
4. 漏洩に現れたパスワードを変更

漏洩はすでに起こりました。重要なのは、どれだけ早く対応するかです。

自動削除される安全なメモで認証情報を安全に共有 →