筆者のメールアドレスがHave I Been Pwnedで2019年の漏洩事件にヒットしていた話は以前書いた。発覚後、同じパスワードを使い回していた別サービスのアカウントを即座に変更し、1Passwordへの移行を決めた。あの経験がなければ、Chromeの「パスワード チェックアップ」を月1で走らせる習慣は生まれていない。

結論から言う。Chromeが「データ侵害によりパスワードが漏洩しました」と警告を出したとき、やるべきことは3段階ある。まずGoogleパスワードマネージャーで漏洩・使い回し・脆弱パスワードを一括チェックし、次に該当パスワードを個別に変更、最後に二段階認証を有効にする。この警告はフィッシングではない。Chromeが保存済みパスワードを既知の流出データベースと暗号化ハッシュで照合した結果の、正規通知だ。

Chromeの「パスワード漏洩」警告は何を検出しているのか

仕組みはシンプルである。Googleが保有する漏洩データベースと、ユーザーがブラウザに保存したパスワードを暗号化ハッシュで照合する。平文のパスワードがGoogleに送信されるわけではない。

照合対象の規模は膨大だ。Have I Been Pwnedの公開データによれば、2026年6月時点で登録されている侵害サイトは1,011件、累計120億件超のレコードが収録されている。2026年6月15日には、インフォスティーラーマルウェアが窃取した5,600万件のメールアドレスと1億2,400万件のパスワードが一括追加された。自分のアドレスが「含まれていない」と断言できる人間のほうが珍しい状況だ。

トレンドマイクロが2026年2月に実施した「パスワード・パスキーの利用実態調査2026」(n=1,034)の結果は深刻である。複数のWebサービスでパスワードを使い回している利用者は84.3%、2023年調査の83.8%からほぼ横ばい。使い回す理由の1位は「異なるパスワードを設定すると忘れてしまう」(74.3%)。つまり、1つのサービスで漏洩したパスワードが芋づる式に他のアカウントを危険にさらす構造は、3年経っても何も変わっていない。

「パスワード チェックアップ」で一括診断する手順

確認はPC・スマホどちらからでも3分で終わる。

PCの場合(Chrome):

  1. Chromeのアドレスバーに chrome://password-manager/passwords と入力(または右上の三点メニュー → 「パスワードとAutoFill」 → 「Googleパスワードマネージャー」)
  2. 左メニューの「チェックアップ」をクリック
  3. 「パスワードを確認」を実行する

スマホの場合(Android / iPhone共通):

  1. passwords.google.com/checkup にブラウザでアクセス
  2. Googleアカウントでログイン
  3. 「パスワード チェックアップ」を実行する

結果は3カテゴリに分類される。

  • 不正使用されたパスワード: 既知の漏洩データベースに一致した。最優先で変更が必要
  • 再利用されているパスワード: 複数サイトで同一パスワードを使用中。1件の漏洩で全滅するリスクがある
  • 脆弱なパスワード: 短い、推測されやすい等。ブルートフォース攻撃で突破される可能性が高い

筆者が先週チェックアップを走らせたとき、2年前に試しに登録して放置していた海外SaaSアカウントが「不正使用されたパスワード」に引っかかった。SIer時代の教訓で「ベンダー契約の解約と課金停止は別系統」と痛い目を見たのに、個人のアカウント管理では同じ放置をしていたわけだ。使わないサービスのパスワードは変更するのではなく、アカウント自体を削除するのが正解である。

漏洩パスワードの変更、何から手をつけるか

「不正使用されたパスワード」が20件、30件と出ることもある。全部を一度に変更するのは現実的ではないので、優先順位をつける。

最優先(即日): 金融系サービス(銀行・証券・決済)、メインのメールアカウント(Gmail、Outlook)、クラウドストレージ(Google Drive、Dropbox)。メールアカウントはパスワードリセットの起点になるため、ここが突破されると他の全アカウントが連鎖的に危険にさらされる。

翌日まで: SNS(X、Instagram等)、ECサイト(Amazon、楽天)、仕事で使うSaaS。ECサイトにはクレジットカード情報が紐づいているケースが多い。

1週間以内: それ以外。使っていないサービスはアカウント削除を検討する。

変更時のルールは単純だ。Googleパスワードマネージャーの自動生成機能、または1Password・Bitwardenなどの専用パスワードマネージャーで、サイトごとにランダムな15文字以上のパスワードを生成する。自分で考えない。人間が「覚えやすく」設計したパスワードは、攻撃者にとっても推測しやすいパスワードである。

同調査でパスワード管理方法の1位は「記憶している」(40.9%)、2位が「紙のメモやノート」(34.3%)だった。記憶に頼る限り、使い回しから脱却するのは構造的に無理だと判断する。パスワードマネージャーへの移行が現実的な解決策だ。

「オンデバイス暗号化」でGoogleにも読めない状態にする

Googleパスワードマネージャーには、保存済みパスワードを端末上で暗号化してからGoogleサーバーに同期する「オンデバイス暗号化」オプションがある。有効にすると、Googleの従業員を含め、端末のロック解除手段を持たない第三者はパスワードを復号できなくなる。暗号化方式はAES-256だ。

設定手順:

  1. passwords.google.com/settings にアクセス
  2. 「オンデバイス暗号化」の「設定」をクリック
  3. 端末のパスコードまたは生体認証で本人確認を完了する

注意点が1つある。オンデバイス暗号化を有効にした後、端末のロック手段(PIN・パスワード・指紋・顔認証)をすべて失った場合、保存済みパスワードへのアクセスが不可能になる。バックアップのリカバリーキーは存在しない。SIer時代に見たプロジェクトで、バックアップテープを5年間取り続けていたがテープドライブの故障で復元できなかった事例と同じ構造だ。暗号化は「かけること」が目的ではなく「かけた後の鍵管理」が本体である。

漏洩チェックはChromeだけの話ではない

SafariはiCloudキーチェーンの「セキュリティに関する勧告」で同等の漏洩チェックを提供している。FirefoxはMozilla Monitorでメールアドレス単位の漏洩確認が可能だ。ブラウザに依存したくなければ、Have I Been Pwnedに直接メールアドレスを入力して確認する手もある。通知登録(Notify me)をしておけば、新たな漏洩が追加された時点でメールが届く。

どのツールを使うかより、定期的に実行する習慣のほうが重要だ。筆者は月初にGoogleパスワードマネージャーのチェックアップを走らせ、同じタイミングでHave I Been Pwnedの通知メール登録状況も確認している。SIer時代に毎朝アクセスログを目視チェックしていたのと同じ発想で、能動的に確認しなければ異常は発見できない。

FAQ

Chromeの「パスワードが漏洩しました」警告はフィッシングの可能性はないか

Chrome設定画面(chrome://password-manager)内やGoogleパスワードマネージャーの画面に表示される警告は正規の機能だ。一方、ブラウジング中にWebサイト上でポップアップ表示される「パスワードが漏洩した」警告は偽物の可能性が高い。判別基準は、Chrome設定画面内かWebサイト上かの違いである。不安な場合はpasswords.google.com/checkupに直接アクセスして確認する。

「不正使用されたパスワード」が大量にある場合、全部変更する必要があるか

理想は全件変更だが、金融・メール・クラウドストレージを最優先にし、使っていないサービスはアカウント削除を検討する。最も危険なのはメインのメールアカウントの漏洩だ。パスワードリセットの起点となるため、連鎖的に他の全アカウントが危険にさらされる。

Googleパスワードマネージャーは無料で使えるのか

Googleアカウントがあれば無料で利用できる。Chrome・Android・iOSに標準搭載されており、追加インストールは不要だ。1Password(月額$2.99〜)やBitwarden(無料プランあり)のような専用ツールと比べると、ブラウザ横断の同期や家族共有機能は限定的だが、「記憶に頼る運用」からの脱却には十分な機能がある。

パスキーを設定すればパスワードの漏洩は気にしなくていいのか

パスキー対応サービスではパスワード自体が不要になるため、漏洩リスクは大幅に下がる。ただし2026年6月時点でパスキー対応サービスはまだ限定的であり、大半のサービスでパスワード認証が併存している。パスキー移行を進めつつ、既存パスワードの管理も並行して維持する必要がある。

参考文献