筆者がHave I Been Pwnedで自分のメールアドレスを確認したとき、2019年の漏洩事件にヒットした。冷や汗をかいた。さらに厄介だったのは、当時そのパスワードを3つのサービスで使い回していたことだ。即座に全件変更し、以降は1Passwordでサイトごとにランダム生成する運用に切り替えた。

結論から言う。Chromeに「保存したパスワードの一部がウェブ上に漏洩しました」と赤い警告が出ているなら、Chromeの誤検知ではない。あなたのパスワードが過去のデータ侵害に実際に含まれていたということだ。放置するほどリスクは上がる。

Chrome 127(2026年7月時点)とMicrosoft Edge 127で検証した内容をもとに、パスワードチェック機能の仕組みと、漏洩・使い回し・脆弱の3種類の警告への対処を優先順位つきで書いた。

「パスワードが漏洩しました」警告の正体はGoogleの40億件データベース照合

Chromeの「パスワードチェックアップ」は、ブラウザに保存されたパスワードをGoogleが収集した40億件以上の漏洩済み認証情報と照合する機能だ。Google公式ヘルプによれば、この照合にはk-anonymityと呼ばれるプライバシー保護技術が使われている。

仕組みはこうなっている。パスワードをSHA-1でハッシュ化し、その先頭5文字だけをGoogleのサーバーに送信する。サーバー側は先頭5文字が一致する漏洩パスワードのリストを返し、Chrome側で残りの文字列をローカル照合する。Googleにも生のパスワードは見えない設計だ。先頭5文字から元のパスワードを逆算するのは、40文字のハッシュ全体のうち1,600万通り以上の候補がありえるため、技術的に不可能と判断してよい。

ここで押さえておくべき点がひとつある。警告が出たサイトが漏洩元とは限らない。同じメールアドレスとパスワードの組み合わせを別のサービスで使い回していた場合、そちらから流出したデータに含まれていた可能性がある。SIer時代に「複数ベンダーの見積もりが一致していたが実は同じ下請けのコピーだった」という失敗をやらかしたことがあるが、パスワードの使い回しも構造は同じだ。情報源が1つなら、被害は芋づる式に広がる。

Chrome・Edgeでパスワードチェックアップを実行する手順

まずは現状を確認する。Chrome・Edgeそれぞれの手順を示す。

Chromeの場合(デスクトップ)

  1. Chromeを開き、右上の「︙」(3点メニュー)→「パスワードと自動入力」→「Google パスワード マネージャー」を選択する
  2. 左側メニューの「チェックアップ」をクリック
  3. 「パスワードを確認」ボタンを押すと、保存済みパスワードが漏洩データベースと照合される

ブラウザを開かなくてもpasswords.google.com/checkupに直接アクセスすれば同じ結果が得られる。Googleアカウントにログインした状態であれば、スマホからでも実行可能だ。

Microsoft Edgeの場合

Edgeには「パスワードモニター」という同等機能がある。Microsoft公式ヘルプによれば、Microsoftアカウントでサインインしパスワード同期をオンにしていれば自動で有効化される。

  1. Edgeの右上「…」→「設定」→「パスワードと自動入力」→「Microsoft パスワード マネージャー」を開く
  2. 「パスワード セキュリティ チェック」を選択し、「チェック」を押す

ChromeとEdgeの違いは、Edgeがサインイン時に自動でモニタリングを開始する点だ。Chromeは手動でチェックアップを実行する必要がある。ただし、ログイン操作時にリアルタイムで漏洩警告を出す機能は両方に搭載されている。

「漏洩」「使い回し」「脆弱」の対処は上から順に片づける

パスワードチェックアップの結果は3カテゴリに分かれる。対処の緊急度が異なるので、上から順番に手をつけるのが合理的だ。

赤:漏洩したパスワード(最優先で変更)

過去のデータ侵害で流出が確認された組み合わせ。攻撃者のリストに載っている状態なので、変更は急務である。対象サイトにログインしてパスワードを変更し、可能であれば二段階認証も同時に有効化する。変更したらChromeの保存情報も更新すること。

黄:使い回しのパスワード

複数サイトで同じパスワードを使っている状態だ。1件漏洩すれば全サイトに波及する。筆者もHave I Been Pwnedの件で3サービス分を一気に変更する羽目になった経験がある。面倒でもサービスごとに別のパスワードを設定するしかない。

灰:脆弱なパスワード

短すぎる、推測されやすい、辞書攻撃で突破されやすいパスワード。Googleの公式ブログによれば8文字以下は特に危険と判定される。漏洩と使い回しの対処が終わってから取りかかれば十分だ。

数十件の警告を一度に片づけようとしない

パスワードチェックアップを初めて実行すると、数十件の警告が並ぶことがある。正直、一度に全件対処するのは無理だ。

SIer時代に障害対応で叩き込まれた原則がある。全件同時対応は結局どれも中途半端になる。パスワード変更も同じで、1日5件ずつ進めるほうが確実に消化できる。

おすすめの優先順位は以下のとおり。

  1. 金融系(銀行・証券・決済サービス)。被害が直接金銭に及ぶため最優先
  2. メールアカウント(Gmail・Outlook等)。他サービスのパスワードリセットに使われるため、ここが突破されると全滅する
  3. SNS・クラウドストレージ(X・Instagram・Googleドライブ等)。個人情報やプライベートデータの流出リスクがある
  4. ECサイト(Amazon・楽天等)。クレジットカード情報が紐づいている場合は特に急ぐべきだ
  5. その他(ニュースサイト、フォーラム等)。被害が限定的なものは最後に回してよい

変更時は、Chromeの「パスワードを提案」機能を活用する。自動生成された長いランダム文字列がそのままGoogle パスワード マネージャーに保存される。自分で考えたパスワードよりはるかに強固だ。

パスワードチェックアップの限界と補完手段

便利な機能だが、万能ではない。知っておくべき限界が2点ある。

第一に、Chromeに保存されていないパスワードは検査対象外だ。別のブラウザやモバイルアプリで直接ログインしているサービスは、チェックアップの視界に入らない。たとえば筆者の場合、業務用ツールの一部はFirefox経由でログインしているため、Chrome側では検出されなかった。

第二に、Googleのデータベースに未登録の漏洩は検出できない。データ侵害が公表されるまでにはタイムラグがあるため、「警告が出ていない=安全」とは言い切れない。

補完手段として、Have I Been Pwnedでメールアドレス単位の漏洩確認を併用するのが手堅い。Chromeのチェックアップが「パスワード単位」の検査であるのに対し、Have I Been Pwnedは「メールアドレスがどの漏洩事件に含まれているか」を横断的に洗い出してくれる。両方やっておけば見落としのリスクは大幅に下がる。

※ 検証はChrome 127 / macOS Sequoia環境で実施した。Windows版やモバイル版では画面構成が若干異なる場合がある。

FAQ

警告が出たサイトがハッキングされたということ?

違う。警告は「同じメールアドレスとパスワードの組み合わせが過去のいずれかの漏洩データに含まれていた」という意味で、そのサイト自体が侵害されたとは限らない。別サービスでの使い回しが原因の場合もある。

パスワードチェックアップでGoogleにパスワードが見られている?

見られていない。パスワードをハッシュ化し先頭5文字のみをサーバーに送信するk-anonymity方式を採用しているため、Google側で生のパスワードを復元することは技術的に不可能な設計だ。

Chromeに保存していないパスワードも検査できる?

できない。検査対象はGoogle パスワード マネージャーに保存されたパスワードのみだ。他のブラウザやパスワード管理ツールの保存分は、それぞれのツール側で確認する必要がある。

パスワード変更後、警告はすぐ消える?

サイト側でパスワードを変更し、Chromeのパスワードマネージャーの保存情報も更新すれば消える。自動更新されない場合は、Google パスワード マネージャーの該当エントリを手動で編集する。

参考文献