パスワードが漏洩していないか確認する方法
パスワードがデータ漏洩で流出していないかを確認する方法を解説。Have I Been Pwned、Google パスワードチェックアップの使い方と、漏洩時の対処法をステップごとに紹介します。
パスワードが漏洩していないか確認する方法
データ漏洩は絶えず発生しています。大企業、小規模アプリ、オンラインサービスがハッキングされ、何百万件ものメールアドレスとパスワードがダークウェブに出回っています。あなたのアカウント情報も、すでに流出している可能性があります。
このガイドでは、パスワードが漏洩していないかを確認する方法、信頼できるツール、そして漏洩が判明した場合の対処法を詳しく解説します。
パスワードの漏洩を確認すべき理由
企業がデータ漏洩に遭うと、盗まれたデータにはメールアドレスとハッシュ化された(場合によっては平文の)パスワードが含まれることが多いです。攻撃者はこのデータを次のように悪用します:
- クレデンシャルスタッフィング — 漏洩したメール/パスワードの組み合わせを他のサイトで試行
- 標的型攻撃 — 漏洩した情報をもとにフィッシングメールを作成
- アカウント乗っ取り — メール、銀行、SNSアカウントに直接アクセス
複数のサービスで同じパスワードを使い回していると、1件の漏洩がはるかに大きな問題に発展します。
ツール1:Have I Been Pwned(HIBP)
Have I Been Pwnedは、セキュリティ研究者のTroy Huntが作成した最も信頼されている漏洩確認サービスです。
使い方
- haveibeenpwned.comにアクセス
- メールアドレスを入力
- **「pwned?」**をクリック
- メールが含まれる漏洩一覧を確認
結果の見方
- 緑色("No pwnage found") — 既知の漏洩データベースにメールは見つからず
- 赤色("Oh no — pwned!") — 1つ以上の漏洩にメールが含まれている。どのサービスが漏洩し、どんなデータが露出したか表示
パスワード個別チェック
HBIPのPwned Passwordsセクションでは、特定のパスワードが漏洩に含まれているかを確認できます。k-anonymityという技術を使用しており、ハッシュの一部のみがサーバーに送信されるため、パスワード全体が外部に送られることはありません。
ツール2:Googleパスワードチェックアップ
Chromeを使っている方やGoogleアカウントをお持ちの方は、Googleのパスワードチェックアップがすでに連携されています。
使い方
- passwords.google.comにアクセス
- Googleアカウントでログイン
- **「パスワードチェックアップに移動」**をクリック
- **「パスワードを確認」**をクリック
Googleが保存されたパスワードをスキャンし、以下を表示します:
- 既知のデータ漏洩に含まれるパスワード
- 複数サイトで使い回されているパスワード
- 脆弱と判断されるパスワード
ツール3:ブラウザ・OS内蔵機能
Apple(Safari / iCloudキーチェーン)
- iPhone/iPad:設定 > パスワード、Mac:システム設定 > パスワード
- 漏洩したパスワードには警告アイコンが表示
- Appleが自動的に既知の漏洩データベースと照合
Firefox Monitor
- monitor.firefox.comにアクセス
- メールを入力して漏洩を確認
- 新しい漏洩にメールが含まれた場合のアラート設定が可能
パスワードが漏洩していた場合の対処法
ステップ1:漏洩したパスワードを直ちに変更
該当サービスにログインしてパスワードを変更します。12文字以上の強力でユニークなパスワードを使いましょう。
ステップ2:使い回していた全てのサービスで変更
同じパスワードを他のサイトでも使っていた場合、すべてで変更が必要です。攻撃者は漏洩したクレデンシャルを自動的に多くのサービスで試すため、このステップが最も重要です。
ステップ3:二要素認証(2FA)を有効化
該当アカウントとその他の重要なアカウントで2FAを設定しましょう。認証アプリ(Google Authenticator、Authyなど)はSMS認証より安全です。
ステップ4:不正アクティビティの確認
最近のログイン履歴、接続デバイス、アカウント活動を確認:
- 見覚えのない場所やデバイスからのログイン
- アカウント設定の変更(メール、電話番号、復旧オプション)
- 身に覚えのない購入やメッセージ
ステップ5:パスワードマネージャーの導入を検討
今回の漏洩で使い回していたパスワードが露出した場合、パスワードマネージャーを導入するタイミングです。
今後の漏洩を防ぐ方法
| 習慣 | 効果 |
|---|---|
| すべてのアカウントにユニークなパスワード | 漏洩の影響を1つのサービスに限定 |
| 重要なアカウントに2FAを有効化 | パスワードが漏洩しても攻撃を阻止 |
| パスワードマネージャーを使用 | ユニークなパスワードの管理を現実的に |
| HBIPアラートでメールを監視 | 新たな漏洩に含まれたら即座に通知 |
| パスワードを平文で共有しない | チャット履歴にクレデンシャルが残ることを防止 |
最後の項目は想像以上に重要です。LINEでパスワードを送ると、トーク履歴に永久に残ります。クレデンシャルを共有する必要がある場合は、LOCK.PUBで有効期限付きの秘密メモを作成してください。設定した時間が過ぎれば情報は消えます。
どのくらいの頻度で確認すべきか
- HBIPのメール通知を設定 — 新しい漏洩にメールが含まれると自動通知
- Googleパスワードチェックアップ — Chrome利用者は3〜6ヶ月ごとに実行
- Apple/Firefoxの漏洩警告 — 設定に表示されたら即確認
不審なログイン通知を待たないでください。事前に確認するほうが、被害発生後の対応よりはるかに効果的です。
今すぐ確認しましょう
haveibeenpwned.comでメールアドレスを確認してみてください。漏洩が見つかったら、今日中にパスワードを変更しましょう。新しいパスワードを安全に共有する必要があるなら、LOCK.PUBで有効期限付きの秘密メモを作成してください。
キーワード
こちらもおすすめ
スマホがハッキングされた?疑わしい兆候と対処法
スマホハッキングの兆候:バッテリー消耗、不明なアプリ、データ使用量の急増、ポップアップなど。確認方法と対処法をステップバイステップで解説。
スミッシングとは?SMS詐欺の手口と対策ガイド
スミッシング(SMS詐欺)の定義、よくある手口、見分け方、被害を防ぐための具体的な対策を解説します。
PDF・Word・Excel・ZIPファイルにパスワードをかける方法
PDF、Wordドキュメント、Excelスプレッドシート、ZIPアーカイブにパスワード保護を設定する手順を、WindowsとMacの両方で解説します。