先日、SIer時代の元同僚から「Chromeに怖い警告が出た、ハッキングされたのか」と連絡が来た。画面を見せてもらうと、ログインフォームの下に赤い警告——「たった今使用したパスワードがデータ侵害で検出されました」。結論から言う。これはChromeに搭載されたGoogleパスワード マネージャーの「パスワード チェックアップ」機能が、保存済みパスワードを既知の漏洩データベースと照合した結果だ。あなたのPCがハッキングされたわけではない。

ただし、放置していい警告でもない。漏洩リストに載っているパスワードは、攻撃者が自動ツールで片っ端から試す「クレデンシャルスタッフィング」の弾として使われる。2026年5月時点でHave I Been Pwnedに登録されている漏洩パスワードは130億件を超えており、同じパスワードを複数サービスで使い回していれば芋づる式に突破される。

「データ侵害で検出」の正体はパスワード チェックアップの照合結果

Chromeがこの警告を出す条件は明確だ。Googleパスワード マネージャーに保存されたユーザー名とパスワードの組み合わせが、過去に第三者のサービスから流出した漏洩リストに含まれている場合に表示される。Google公式ヘルプによれば、この機能は40億件以上のユーザー名・パスワードの漏洩データベースと照合している。

ポイントは「Chromeが保存しているパスワード」が対象であること。ブラウザにパスワードを保存していなければ、この警告は出ない。逆に言えば、警告が出たということはChromeのパスワード マネージャーにそのパスワードが保存されているということでもある。

2026年5月時点のChrome(バージョン136)では、この警告はデフォルトで有効になっている。設定を変えていなければ、漏洩パスワードでログインした瞬間にポップアップが出る仕様だ。

Chromeはパスワードをどうやって漏洩DBと照合しているのか

「自分のパスワードをGoogleに送信して照合しているのか」と不安に思うのは当然だ。仕様上は、パスワードそのものはGoogleに送信されない。

Googleが採用しているのは「k-匿名性(k-anonymity)」と呼ばれる手法である。ざっくり言うと、パスワードのハッシュ値(暗号化された文字列)の先頭数文字だけをGoogleのサーバーに送り、サーバー側は先頭が一致する漏洩ハッシュのリストをまとめて返す。Chrome側でそのリストと自分のハッシュ全体を突き合わせて、一致するかどうかを判定する。

つまりGoogleが知るのは「ハッシュの先頭が〇〇で始まるパスワードを持つユーザーがいる」という程度の情報であり、パスワード本体もハッシュ全体も送信されない。Googleのセキュリティブログでこの仕組みが解説されている。SIer時代に社内基幹システムのアクセス権限がデフォルトで全社読み取り可になっていた事故を経験した筆者としては、このプライバシー設計は評価できると判断する。

警告が出たらやること — パスワード チェックアップの手順

放置は厳禁だ。以下の手順で対処する。

Step 1: パスワード チェックアップを開く

Chromeのアドレスバーに chrome://password-manager/passwords と入力するか、右上の「︙」メニュー →「パスワードと自動入力」→「Googleパスワード マネージャー」を開く。左メニューの「チェックアップ」をクリックすると、保存済みパスワードの診断結果が表示される。

Step 2: 漏洩・再利用・脆弱の3分類を確認する

チェックアップの結果は3種類に分類される。

  • 漏洩したパスワード — 既知のデータ侵害で流出が確認された組み合わせ。最優先で変更が必要
  • 再利用されているパスワード — 複数サイトで同じパスワードを使っている状態。1つ漏れれば全部突破される
  • 脆弱なパスワード — 短すぎる、推測されやすいなど強度が不足している

Step 3: 該当サービスでパスワードを変更する

「漏洩したパスワード」に表示されたサービスの「パスワードを変更」リンクからそのサービスのパスワード変更画面に飛べる。新しいパスワードはChromeの「パスワードを提案」機能で自動生成するのが最も安全だ。自分で考えたパスワードは、無意識に過去のパターンを踏襲してしまう。

Step 4: 変更後にチェックアップを再実行する

パスワードを変更したら、もう一度チェックアップを実行して警告が消えたことを確認する。Googleパスワード マネージャー側の保存情報も更新されているか必ずチェックすること。

Have I Been Pwnedで「メールアドレス単位」の漏洩を確認する

Chromeのチェックアップはパスワード単位の照合だ。メールアドレスがどの漏洩事件に含まれているかを知るには、Have I Been Pwned(HIBP)を使う。セキュリティ研究者のTroy Hunt氏が運営するサービスで、2026年5月時点で900件以上のデータ侵害と130億件超の漏洩レコードがインデックスされている。

使い方は単純で、トップページのフォームにメールアドレスを入力して検索するだけだ。漏洩が見つかると、どのサービスから、いつ、何件のデータが流出したかがリストで表示される。筆者も自分のメールアドレスを入れてみたら、2019年の某Webサービスからの流出に含まれていた。そのサービスのアカウントは既に削除済みだったが、同じパスワードを当時使い回していた別のサービスがあり、冷や汗をかいた。

HIBPは通知機能も提供している。「Notify me」にメールアドレスを登録しておけば、今後新たに漏洩リストに追加された場合に通知が届く。無料で使える。

再発を防ぐための3段構えの対策

第1段: パスワードの使い回しを止める

Chromeのパスワード マネージャーをそのまま使う選択肢がある。サイトごとにランダムなパスワードを自動生成して保存してくれる。ただし、Chrome以外のブラウザやアプリでのログインが多い人は、1PasswordやBitwardenなどのクロスプラットフォーム対応のパスワードマネージャーも検討に値する。筆者は1Passwordを使っている。2FA設定時にスマホが壊れてGitHubとAWSに3日間ログインできなくなった苦い経験以降、バックアップコードも1Passwordに保存するようにした。

第2段: 2段階認証(2FA)を有効にする

パスワードが漏洩しても、2段階認証が有効であれば突破されにくい。Google、Microsoft、Amazonなど主要サービスのほとんどが対応済みだ。認証アプリ(Google AuthenticatorやMicrosoft Authenticator)を使うのがSMS認証より安全である。SIMスワップ攻撃でSMSを乗っ取られるリスクがあるからだ。

第3段: パスキーに移行する

2026年5月時点でFIDO Allianceの発表によれば、世界の上位100サイトの48%がパスキーに対応している。パスキーはパスワード自体が存在しないため、漏洩リストに載ることがそもそもない。Google、Apple、Microsoftの各アカウントで設定できる。まだ対応していないサービスも多いため、パスワードマネージャー+2FAとの併用が現実的だ。

FAQ

Chromeの「データ侵害で検出」警告はフィッシング詐欺の可能性がある?

Chrome自体がブラウザ内で表示するポップアップであれば正規の機能だ。ただし、Webページ上に表示される「パスワードが漏洩しました」というバナーやポップアップはフィッシングの可能性がある。正規のChromeの警告はアドレスバーの下、またはパスワード入力フォームの直下に表示され、chrome://password-manager へのリンクを含む。

Googleパスワード マネージャーに保存していないパスワードも漏洩チェックできる?

Chromeのチェックアップは保存済みパスワードのみが対象だ。未保存のパスワードはHave I Been PwnedのPwned Passwordsに直接入力して個別に確認できる。このページもk-匿名性を使っており、パスワード全体がサーバーに送信されることはない。

パスワード チェックアップの警告を非表示にできる?

Chromeの「設定」→「プライバシーとセキュリティ」→「セキュリティ」で「データ侵害によりパスワードが漏洩した場合に警告する」をオフにすれば非表示になる。ただし、筆者の判断ではこの設定を無効にする合理的な理由はない。警告を消してもパスワードが漏洩している事実は変わらない。

漏洩警告が出たサービスのアカウントをもう使っていない場合は?

そのサービスにログインしてアカウントを削除するのが最善手だ。削除できない場合は、パスワードだけでも変更してChromeの保存情報を更新する。使っていないアカウントを放置すると、攻撃者に乗っ取られてスパム送信の踏み台にされるリスクがある。

参考文献