筆者が自分のメールアドレスをHave I Been Pwnedに入力したとき、2019年のWebサービスからの流出リストに含まれていた。しかも、同じパスワードを当時3つのサービスで使い回していた。冷や汗どころではない。

結論から言う。自分のメールアドレスが過去の情報漏洩に含まれているかどうかは、Have I Been Pwned(以下HIBP)で無料で確認できる。2026年6月時点で1,014件の漏洩サイト、累計170億件超のレコードが登録されたデータベースだ。ここに自分のメールアドレスが載っていないかを確認し、載っていたら即座にパスワードを変更する。やることはそれだけだが、やっていない人が圧倒的に多い。

日本でも年間3,000万人分の個人情報が漏れている

東京商工リサーチの調査によると、2025年に上場企業とその子会社が公表した個人情報の漏洩・紛失事故は180件。漏洩した個人情報は3,063万人分で、前年比93.1%増である。100万人超の大型事故が6件発生し、事故原因の64.4%は「ウイルス感染・不正アクセス」だった。

これは上場企業だけの数字だ。非上場企業や海外サービスを含めれば、実態はさらに大きい。2026年6月にはインフォスティーラー型マルウェアによって収集された5,600万件のメールアドレスと1億2,400万件のパスワードがHIBPに追加された。自分のアドレスが含まれていないと断言できる根拠は、確認しない限り存在しない。

Have I Been Pwnedでメールアドレスを確認する手順

確認は30秒で終わる。

haveibeenpwned.comにアクセスし、検索欄にメールアドレスを入力して「pwned?」ボタンを押す。結果は2パターンに分かれる。

緑色の画面で「Good news — no pwnage found!」と表示されれば、HIBPに登録されている漏洩データベースには含まれていない。ただし、HIBPが把握していない漏洩も存在するため、「確認済みの範囲ではセーフ」という意味である点に注意が必要だ。

赤い画面で「Oh no — pwned!」と出た場合は、過去の漏洩に含まれている。画面をスクロールすると、どのサービスから、いつ、どんな情報(メールアドレス・パスワード・氏名・電話番号など)が漏洩したかが一覧で表示される。HIBPの運営者であるTroy Hunt氏(元Microsoft Regional Director)が収集・検証したデータであり、信頼性は高いと判断する。

SIer時代に毎朝アクセスログを目視チェックしていた筆者の感覚で言えば、この確認作業は月1回のログイン履歴チェックと同じ位置づけにある。能動的に確認しなければ、誰にも気づかれないまま放置される構造はまったく変わっていない。

漏洩が見つかった場合にやるべきこと

赤い画面が出たら、やるべきことは明確だ。

まず、漏洩元のサービスで使っていたパスワードを即座に変更する。そのパスワードを他のサービスでも使い回していた場合は、該当するすべてのサービスのパスワードも変更対象になる。筆者が2019年の漏洩を発見したときは、同じパスワードを3サービスで使い回していたため全部変更した。以降は1Passwordでサービスごとにランダムなパスワードを生成している。使い回しは、過去の漏洩が芋づる式に他のアカウントに波及するリスクそのものだ。

次に、漏洩元サービスで二段階認証(2FA)が設定されているか確認する。未設定であれば有効にする。パスワードが漏れていても、2FAが有効であれば不正ログインのハードルは格段に上がる。

Chromeを使っている場合は、Googleパスワードマネージャーのチェックアップも併せて実行するとよい。ブラウザに保存されたパスワードの漏洩・使い回しを一括で検出できる。HIBPとは検出元のデータベースが異なるため、両方でチェックする意味がある。

HIBPの通知機能で新しい漏洩を自動検知する

haveibeenpwned.com/NotifyMeでメールアドレスを登録すると、そのアドレスが新たな漏洩データベースに含まれたタイミングで自動通知が届く。登録時に保存されるのはメールアドレス・登録日・認証トークンの3項目のみで、検索履歴は記録されない仕様だ。HTTPS暗号化通信が使われているため、入力したアドレス自体が第三者に傍受されるリスクも低い。

通知が届いたら、前述の対処手順をそのまま実行する。通知登録は無料で、解除もメール内のリンクからワンクリックで完了する。

登録すべきアドレスは、メインのメールアドレスだけではない。過去にWebサービスの登録で使ったサブアドレスや、Gmailの「+エイリアス」で振り分けたアドレスも対象だ。筆者は3つのメールアドレスをHIBPに登録し、新規漏洩を常時監視している。

パスワード単体の漏洩チェックも可能

HIBPにはもうひとつ、Pwned Passwordsという機能がある。自分が使っているパスワード文字列が過去の漏洩データに含まれているかを確認できるものだ。

「パスワードを入力して大丈夫なのか」と疑う人は多い。仕様上は安全と判断する。パスワードはブラウザ上でSHA-1ハッシュに変換され、ハッシュの先頭5文字だけがサーバーに送信される(k-anonymityモデル)。サーバー側は先頭5文字に一致するハッシュの一覧を返し、残りの照合はすべてブラウザ上で完結する。パスワード本体がネットワーク上を流れることはない。

もし自分のパスワードがヒットしたら、そのパスワードは攻撃者の辞書に載っていると考えてよい。即座に変更すべきである。

FAQ

Have I Been Pwnedにメールアドレスを入力しても安全ですか?

HIBPは検索履歴を記録しない設計になっている。通信はHTTPS暗号化で保護され、入力されたメールアドレスがサーバー側に保存されるのは通知登録した場合のみだ。運営者のTroy Hunt氏は元Microsoft Regional Directorで、公式FAQにプライバシーポリシーが明記されている。

漏洩が見つかったサービスをすでに退会済みでも対処は必要ですか?

必要だ。退会してもサービス側のデータベースに残っていた情報は漏洩済みである。そのサービスで使っていたパスワードを他でも使い回していた場合、使い回し先のパスワード変更が必要になる。アカウントが存在しなくても、漏洩したパスワード自体は攻撃者の手元に残っている。

HIBPの通知が届いたら、まず何をすべきですか?

通知メールに記載された漏洩元サービスのパスワードを変更する。同じパスワードを使い回している他サービスも同時に変更する。次に二段階認証の設定を確認し、未設定なら有効にする。使い回しの排除にはパスワードマネージャーの導入が有効だ。

Chromeの「データ侵害によりパスワードが漏洩しました」警告との違いは?

Chromeの警告はGoogleパスワードマネージャーに保存されたパスワードを対象に漏洩チェックを行う。HIBPはメールアドレス単位で漏洩を横断検索でき、ブラウザに保存していないサービスの漏洩も検出できる。検出元のデータベースが異なるため、両方の結果を突き合わせるのが最も網羅性が高い。

参考文献