パスワード流出してない?Have I Been Pwned?で今すぐ確認!無料で使える情報漏洩チェックツール
※当サイトはアフィリエイトプログラムを利用しています。
「パスワードが流出したかもしれない…」と不安になったことはありませんか?
そんな時に世界中の専門家が真っ先に勧めるのが、「Have I Been Pwned?(ハヴ・アイ・ビーン・ポウンド)」というサイトです。
こちらの記事を書いている時に、Geminiから「こういうものがありますよ」と提案されたもので、恥かしながら「Have I Been Pwned?」を私は全く知らなかったんです。
偽のブルースクリーンでPC感染?最新攻撃「PHALT#BLYX」の手口と対策
「Have I Been Pwned?」を覗いてみて興味が湧いたので、勉強がてらまとめみることにしました。
Have I Been Pwned?は、自分のメールアドレスを入れるだけで、過去のデータ流出事件に巻き込まれていないか一瞬で、しかも無料で調べられます。
Have I Been Pwned?とは
メールアドレスを入力するだけで、過去の情報漏洩に巻き込まれていないか一瞬でチェック。
それが「Have I Been Pwned?(ハヴ・アイ・ビーン・ポウンド)」です。
世界中のセキュリティ専門家が推奨する、無料で使える情報漏洩確認サービスです。
- 目次
- ・Have I Been Pwned?のサービスの概要と信頼性
- ・名前の由来はネットスラングから
- ・無意識に選んでしまう危険なパターン
- ・Have I Been Pwned?に入力してわかる恐ろしい結果
Have I Been Pwned?のサービスの概要と信頼性
ウィキペディア(Wikipedia)
・Have I Been Pwned?よりHave I Been Pwned?とは、セキュリティ専門家のトロイ・ハント(英語版)が2013年12月4日に開設した、インターネット利用者が自らの個人情報が漏洩していないかを照会できるウェブサイト。
漏洩した数十億件のアカウント情報を含む、数百のデータベースダンプ(英語版)やPastebinを収集、分析して得られた情報から、電子メールアドレス、または、電話番号で検索することができる。また、メールアドレスを登録すると、今後ダンプされたデータにそのアドレスが含まれた場合、通知を受け取ることも可能となる。
HIBPは、インターネット利用者のセキュリティやプライバシーの保護のための貴重なリソースとして広く知られている。
- 主な機能
- 📧メールアドレス検索
自分のアドレスが漏洩していないか確認 - 🔐パスワード検索
使おうとしているパスワードが過去に流出していないか確認 - 🔔通知機能
今後新たな流出が見つかった場合、自動でメール通知 - 🏢ドメイン検索
企業全体のメールドメインをまとめて確認
💡なぜ信頼できるのか?
HIBPは、マイクロソフト、政府機関、セキュリティ企業など、世界中の組織で公式に利用されています。
運営者のトロイ・ハント氏は、マイクロソフトの元セキュリティMVPで、サイバーセキュリティ分野で国際的に認められた専門家です。
完全無料で利用でき、個人情報を登録する必要もありません(通知機能を使う場合を除く)。
誰でも気軽に、今すぐ自分の情報が安全かどうかを確認できます。
名前の由来はネットスラングから
「Have I Been Pwned?」という名前は、「私は乗っ取られたか?」という意味で、インターネットスラングの「pwned」に由来します。
もともとはオンラインゲームの世界で、対戦相手を完全に打ち負かした時に使われていた「owned」という言葉。
キーボードの「O」と「P」が隣り合っているため、興奮して素早くタイプする時に「owned」を「pwned」と打ち間違える人が続出。
この「タイプミス」がそのまま定着し、今では「ハッキングされた」「乗っ取られた」という意味のハッカー用語として世界中で使われています。
キーボード上で「隣り合うキーをなぞるだけ」のパスワードは、覚えやすくて入力もしやすいため、世界中で驚くほど多くの人が使ってしまっています。
キーボードの配列(QWERTY配列)をそのままなぞったパスワードは、専門用語で「キーボード・シーケンス(Keyboard Sequences)」と呼ばれます。
実は、これらは「123456」と同じくらい真っ先に試される、非常に危険なパターンなんですね。
- 例えばこういった感じ
- ・横になぞる qwertyuiopやasdfghjkl
- ・斜めになぞる 1q2w3e4r
- ・固まったエリア 789uiojkl
無意識に選んでしまう危険なパターン
「owned(負かした)」を「pwned」と打ち間違えたゲーマーたちのエピソードは、「人間は急いでいる時や無意識な時、指が近いキーへ流れてしまう」という性質を象徴しています。
パスワード作りでも同じ心理が働きます。
「複雑にしなきゃ」と考える。というか、頭ではわかっていますよね?
でも複雑であるほどに覚えるのは面倒、いやそれ以前に自分で考えるのも面倒じゃないですか。
結果、見た目は複雑そうだけど、指の動きは単純なパターン、例えば、zaq12wsxなどに逃げてしまう。
ハッカー側はこの心理を熟知していて、こうしたキーボードの並び順リストを攻撃のデータとして持っています。
「Have I Been Pwned?」というサイト名自体が、「人間は無意識に隣のキーを押してしまう」という教訓を含んでいるのです。
この「隣のキーを押してしまう癖」は、パスワード作成の場面でも大きな落とし穴になります。次のセクションで詳しく見ていきましょう。
Have I Been Pwned?に入力してわかる恐ろしい結果
「Have I Been Pwned?」のパスワード検索機能で、試しに「qwerty」や「12345」と入れてみてください。
何百万回、何千万回も「すでに漏洩済み」としてヒットします。
実際に「qwerty」を検索すると、こんな感じ。
ああ、だめだ。乗っ取られた!
このパスワードは、 データ侵害でこれまでに 30,799,395
このパスワードは過去のデータ侵害で使用されたため、絶対に使用しないでください。以前にどこかで使用したことがある場合は、直ちに変更してください。
「自分にとって覚えやすい」は、残念ながら「機械には、もっと簡単に予想しやすい」ことに。
「指の動き」でパスワードを決めていませんか?「pwned」の由来が打ち間違いだったように、キーボードの隣り合ったキーは、私たちが思っている以上に「無意識に選んでしまう場所」です。
もしあなたのパスワードがキーボードを指でなぞるだけのものなら、それはハッカーにとっても「予測しやすい最短ルート」かもしれません。
一度「Have I Been Pwned?」で、そのパターンが狙われていないかチェックしてみましょう!
やり方はとっても簡単です。以下で手順を解説しますね。
Have I Been Pwned?の使い方
「自分の情報が漏れているか知りたいけど、難しそう…」と思っていませんか?
安心してください。Have I Been Pwned?の使い方はとてもシンプル。
メールアドレスを入力して、ボタンを1回クリックするだけ。
たったこれだけで、あなたの情報が過去の流出事件に含まれていないか、10秒以内に結果が分かります。
ただし、利用する前に知っておいてほしい注意点が2つあります。
Have I Been Pwned?を利用する前に
HIBPは非常に安全なサイトですが、利用する際は以下の2点にだけ気をつけてください。
①公式サイトであることを必ず確認!
ネットには、このサイトにそっくりな「偽サイト(フィッシングサイト)」が作られることがあります。
偽物にパスワードを入力してしまうと、そのままハッカーに情報を渡すことになってしまいます。
必ず https://haveibeenpwned.com/ であることを確認してから使いましょう。
②「今使っているパスワード」をむやみに打たない
HIBPのパスワード検索は、「過去に漏れたかどうか」を調べるためのものです。
「新しく作ったばかりの秘密のパスワード」を試す必要はありません。
セキュリティの基本は「信頼できる場所以外にパスワードを打ち込まないこと」。
まずは「メールアドレス」の検索から始めて、もし漏洩が心配なパスワードがある場合だけ、慎重に試すようにしましょう。
検索手順と結果の見方
Have I Been Pwned?にアクセス。
検索窓に自分のメールアドレスやパスワードを入力して、右側のボタンをクリック。
結果を確認する。
緑色(安全)の場合
こんな風に、画面が「緑色」ならOK!
「Good news — no pwnage found!」と出れば、今のところ大きな流出は見つかっていません。
赤色(要注意)の場合
画面が「赤色」なら要注意!
「Oh no — pwned!」と出た場合は、過去のどこかのサービスであなたの情報が漏れた可能性があります。
画面を下にスクロールすると、どのサービス(例:Facebook, Twitter, 昔使っていた古いサイトなど)で漏れたのかが分かります。
「古いサイトだし、もう使っていないから大丈夫」と思うかもしれません。
でも、一番怖いのは「パスワードの使い回し」です。
犯人は、どこかで手に入れた「メールアドレスとパスワードのセット」を使って、Amazon、楽天、Apple ID、銀行など、お金に直結するサイトにログインできるか片っ端から試す、「リスト型攻撃」を仕掛けます。
情報漏洩が見つかったらやるべき3つのこと
赤く出たら焦らず、そのサービスで使っていたパスワードを他でも使い回していないか確認を。
使い回している場合は、優先順位をつけて変更しましょう。
お金やクレジットカードが関連するサービスから、例えば、銀行・Amazon・Apple IDなど、お金に関係するところから、SNSなどという順で。
もし結果が赤くても、落ち着いて次の3つをすれば大丈夫です。
パスワードを変える
特に、流出したサイトと同じパスワードを他のサイトでも使っている場合は、今すぐ別のものに変えましょう。
二要素認証(2FA)をオンにする
スマホに届く確認コードなどを設定しておけば、もしパスワードがバレてもログインを防げます。
「通知登録」をしておく
サイトにある「Notify me」にメール登録しておくと、今後もし新しい流出が見つかった時に、すぐにメールで知らせてくれます。
Have I Been Pwned?の主な機能
Have I Been Pwned?は、個人が無料で使える基本機能から、企業向けの高度な監視機能まで幅広く提供しています。
自分の使い方に合った機能を選びましょう。
個人向け機能(無料)
1. メールアドレス検索
自分のメールアドレスを入力するだけで、過去の情報漏洩事件に含まれていないか即座に確認できます。
結果は「緑(安全)」または「赤(流出あり)」で表示され、流出した場合は、どのサービスで漏れたのかも分かります。
2. パスワード検索
使おうとしているパスワードが、過去に流出したパスワードのデータベースに含まれていないかチェックできます。
新しくパスワードを作る前や、既存のパスワードの安全性を確認したい時に便利です。
3. ドメイン検索
メールアドレス全体ではなく、「@gmail.com」や「@yahoo.co.jp」といったドメイン部分で検索できます。
ただし、大規模なドメイン(大手企業など)の検索は有料プランが必要です。
4. 通知機能(Notify me)
自分のメールアドレスをHIBPに登録しておくと、今後新たな情報漏洩事件が発生し、あなたのアドレスが含まれていた場合、自動的にメールで通知してくれます。
一度登録すれば、継続的に監視してくれるので安心です。
5. Stealerログ検索
比較的新しい機能で、マルウェア(情報を盗むウイルス)によって盗まれた認証情報が含まれていないかも確認できます。
これらの基本機能は、すべて完全無料で利用できます。
会員登録も不要です(通知機能を使う場合はメールアドレスの登録が必要)。
企業向けAPI(有料)
APIとは?
API(Application Programming Interface)とは、簡単に言うと「プログラム同士をつなぐ仕組み」です。
企業が自社のシステムとHave I Been Pwned?を連携させることで、大量の社員アカウントを自動的に、継続的に監視できるようになります。
なぜ企業にはAPIが必要なのでしょう?
例えば、1,000人の社員がいる会社で、全員のメールアドレスを1つずつ手入力でチェックするのは現実的ではありません。
しかし、APIを使えば
- ・全社員のアドレスを数分で一括チェック
- ・新入社員のアドレスも自動で監視対象に追加
- ・流出が見つかったら即座にセキュリティチームに通知
- ・定期的に自動スキャンを実行
といったことが可能になります。
- こんな企業におすすめ
- ・従業員が多く、手動チェックが困難
- ・定期的なセキュリティ監査が必要
- ・情報漏洩を未然に防ぐプロアクティブな対策をしたい
- ・セキュリティ体制を社外にアピールしたい
料金体は、小規模なドメイン検索や、Pwned Passwordsの検索なら無料。
大規模ドメインの検索、Stealerログのドメイン検索、APIを使った大量・高速検索には、サブスクリプションが必要となっています。
個人利用であれば無料機能で十分ですが、企業のIT担当者やセキュリティチームには、API連携が強力な武器になります。
安全で覚えやすいパスワードの作り方
「複雑なパスワードにしてください」と言われても、覚えられないし面倒ですよね。
でも、「短くて複雑なもの」より「長くて覚えやすいもの」の方が、今のセキュリティでは推奨されています。
①フレーズで考える
「$Password123$」のようなありがちなパターンは、機械ですぐに破られてしまいます。
代わりに、自分だけの短い文章(パスワード・フレーズ)を作ってみましょう。
覚えやすさで考えるなら、あなたの好きな小説の一節に数字をプラスしたり、句点代わりにハイフンを使うと、覚えやすく強固なパスワードが出来上がります。
wagahaihanekodearu-1867
夏目漱石の「吾輩は猫である」に夏目漱石の誕生年を加えたものです。
こんな組み合わせなら考えやすいかと思います。
②記号と数字を混ぜる
これは、よく言われていることですが、アルファベットだけでなく、間に記号や数字を挟むと強度が跳ね上がります。
記号と数字を混ぜたものでなければパスワードとして登録できないサービスも増えています。
悪い例 tanaka2026(名前+年)
良い例Tana#ka_20:26(記号で区切る)
でも・・・記号まで入れると、正直面倒だし、「どこに記号を挟んだっけ」ってなってしまいませんか?
どんなに強固なパスワードでも、それでは使い勝手が悪いというもの。
③パスワード管理アプリを味方につける
「サイトごとに違うパスワードなんて覚えられない!」という方は、「パスワードマネージャー」というツールを使いましょう。
私は強固なパスワードを考えるのも、覚えるのも面倒になって、パスワード管理マネージャーを使っています。
パスワード管理アプリ(パスワード管理マネージャー)のマスターパスワードだけ覚えればOK。
しかも他のサービスでパスワードを新しく作る場合も、強力なパスワードを作ってくれますよ。
パスワード管理アプリ(パスワード管理マネージャー)に登録されているサービスのIDやパスワードは、自動入力してくれるので、自分で文字を打つ必要はなく、パスワードを間違うという一番イヤなことも起きません。
また、フィッシングサイトにアクセスしてしまった場合でも、登録されているサービスとURLが違うフィッシングサイトに、IDやパスワードを自動入力するという事態になりません。
フィッシング詐欺に引っかからないといった側面もあるんですね。
※マスターパスワードは、絶対に強固なものにしてください。ここが破られたら全部が危険に晒されます。
二段階認証で安全性を更に強固に
もしも「Have I Been Pwned?」でパスワードが漏れていることがわかっても、この二要素認証さえ設定してあれば、犯人はあなたのスマホを持っていない限りログインできません。
「設定がちょっと面倒そう」と感じるかもしれませんが、一度設定してしまえば、多くの場合「いつものパソコン」では入力を省略できます。
大切なSNSや銀行、Googleアカウントなどには、必ず設定しておきましょう。
認証方法の種類と選び方
二要素認証にはいくつかの方法があります。
それぞれの特徴を理解して、自分に合った方法を選んでくださいね。
📱SMS認証(電話番号)
安全度 中
スマホのSMS(ショートメッセージ)に6桁の数字が送られてくる方法です。
👍設定が簡単で、誰でもすぐ使える。特別なアプリ不要。
⚠️電話番号を乗っ取られる「SIMスワップ攻撃」のリスクあり。海外では受信できない場合も。
💡とにかく簡単に始めたい方。認証アプリの設定が不安な方。
🔐認証アプリGoogle Authenticator等
安全度 高
アプリに表示される6桁の数字を入力する方法。数字は30秒ごとに自動で変わります。
👍電波がなくても使える。SIMスワップ攻撃の心配なし。無料で使える。
⚠️スマホを機種変更する時の引き継ぎが少し面倒。アプリのインストールが必要。
💡安全性を重視したい、銀行やメインのメールアカウントを守りたい方。
主な認証アプリにはGoogle Authenticator、Microsoft Authenticator、Authy などがあります。
✅プッシュ通知(ワンタップ承認)
安全度 高
スマホに「ログインしようとしていますか?」という通知が届き、タップして承認する方法。
👍数字を入力する手間がない。とにかく楽。
⚠️対応しているサービスが限られる。通知を見逃すと面倒。
💡頻繁にログインするサービスで使いたい。入力の手間を減らしたい。
🔑セキュリティキー(物理キー)
安全度 最高
USBメモリのような小さな機器をパソコンに差し込む、または近づける方法。
👍最も安全。フィッシング詐欺にも強い。
⚠️購入費用がかかる(2,000〜5,000円程度)。無くすと大変。持ち歩く必要がある。
💡仕事で重要な情報を扱うなど最高レベルのセキュリティが必要な方。
製品例として、YubiKey、Google Titan Security Key などなどがあります。
📧メール認証
安全度 低
登録したメールアドレスに確認コードが送られてくる方法。
⚠️メールアカウント自体が乗っ取られたら意味がない。到着が遅い場合がある。
💡他の方法が使えない場合の最終手段として。
多くのサービスでは複数の認証方法を同時に登録できます。
メインは「認証アプリ」、予備で「SMS」を設定しておくと、スマホを忘れた時も安心です。
私も始めこそ「二段階認証めんどくせー!」と思っていましたが、これも慣れですね。今では特に何も感じません。
今日から始めるシンプルな3ステップ
インターネットは便利な反面、危険も隣り合わせ。正しい知識と簡単なツールがあれば、十分に自分を守れます。
セキュリティ対策はこの3つだけ覚えてください。
ステップ1:知る
Have I Been Pwned?で、自分の情報が漏れていないか確認する。
ステップ2:守る
漏れていたら、パスワードを変更+二要素認証を設定する。
ステップ3:続ける
3ヶ月に1度、定期的にチェックする習慣をつける。
覚えておいてほしいこと。
・Have I Been Pwned?は完全無料で信頼できる。
・公式サイト(https://haveibeenpwned.com/)を必ずブックマーク。
・「赤い結果」が出ても焦らない、落ち着いて対処すれば大丈夫。
・パスワードは「長くて覚えやすいフレーズ」が最強。
・二要素認証は「デジタルの二重ロック」。
この記事を閉じたら、まずはHave I Been Pwned?にアクセスして、あなたの大切な情報を守る旅は、そこから始まります。