SIer時代、筆者は基幹系Linuxサーバの運用保守で毎朝アクセスログを目視チェックしていた。深夜3時台に海外IPからSSH接続試行が200回記録されている朝があり、即座にIPブロックとパスワード認証から公開鍵認証への切り替えを実施した。あの「ログを見なければ気づかなかった」という経験が体に染みついているから、個人のWebサービスでもログイン履歴は月1回確認している。

ところが周囲に聞くと、Google・Amazon・X(旧Twitter)のログイン履歴がどこで見られるか即答できる人間はほぼいない。確認画面の存在すら知らないケースが大半だ。

Identity Theft Resource Center(ITRC)の2025年年次報告書によれば、2025年のデータ漏洩件数は米国だけで3,322件、5年間で79%増。FBIのIC3報告書では身元詐取の被害報告が115万件を超えた。漏洩したメールアドレスとパスワードの組み合わせはダークウェブで数ドル単位で売買されており、自分のアカウントが「まだ無事か」を確認する最も手軽な手段がログイン履歴のチェックである。

ログイン履歴を放置すると何が起きるか

結論から言う。ログイン履歴を一度も確認していないなら、不正アクセスされていても気づく手段がない。

不正アクセスの典型的な手口は大きく3つに分かれる。1つ目が、漏洩済みのパスワードを使ったクレデンシャルスタッフィング(パスワードリスト攻撃)。他サービスで漏れたID・パスワードの組み合わせを片っ端から別サービスに試す手法だ。2つ目はフィッシングメールでセッションCookieを窃取するパターン。3つ目は、カフェや共有PCでログイン状態が残ったまま放置されるケースである。

SIer時代にも似た構造の事故を経験した。担当していた基幹システムで、アクセスログのデフォルト権限が「全社読み取り可」のまま半年間放置されていた。発覚したのは他部署からの指摘がきっかけで、能動的に確認していれば初月で防げた話だ。Webサービスのログイン履歴も同じ構造で、確認しなければ不正がいつ始まったかすら特定できない。

Googleアカウントのログイン履歴を確認する

Googleは主要サービスの中でログイン履歴の確認機能が最も充実している。確認ルートは2つだ。

ルート1: セキュリティ診断(推奨)

myaccount.google.com/security-checkup にアクセスする。Googleアカウントでログインした状態で開くと、「お使いのデバイス」セクションにログイン中の端末一覧が表示される。見覚えのない端末があればその場で「ログアウト」を実行できる。2026年6月時点の仕様では、端末名・OS・最終アクティビティ日時・おおよその位置情報が確認可能だ。

ルート2: デバイス一覧から直接確認

myaccount.google.com/device-activity を開く。過去28日以内にGoogleアカウントにログインした、またはログイン中のデバイスが時系列で並ぶ。各デバイスをクリックするとIPアドレスやブラウザの種類まで確認できる。

注意点がある。Googleのデバイス一覧は過去28日間しか遡れない。それ以前の記録は消える仕様のため、月1回の定期確認が最低ラインと判断する。

Gmail固有のログ確認

Gmailにはもう1つ独立したログ確認がある。PC版Gmailの画面右下にある「前回のアカウント アクティビティ」リンクをクリックすると、直近10件のアクセス記録(IPアドレス・アクセスタイプ・日時)が一覧表示される。他セッションをすべて強制ログアウトするボタンもここにある。

Amazonで不審アクセスの痕跡を探す

Amazonには「ログイン履歴」という名称の機能が存在しない。GoogleやXと比較した場合の明確な弱点だ。

ただし間接的な確認方法が3つある。

1. 注文履歴の確認

Amazon乗っ取りの最大の動機はギフトカード購入やデジタルコンテンツの不正注文にある。「アカウントサービス」→「注文履歴」を開き、必ず「非表示にした注文」も確認する。攻撃者が注文後に非表示にするケースが報告されているため、注文履歴ページの「非表示にした注文を表示」リンクまでクリックすること。

2. ログイン通知メールの確認

Amazonは新しいデバイスからのサインイン時に通知メールを送信する。Gmailで「Amazon サインイン」と検索して、見覚えのないデバイスからの通知がないか確認するのが手軽だ。ただし、Amazon通知メールはフィッシング詐欺の定番テーマでもある。メール内リンクは絶対にクリックせず、ブラウザでamazon.co.jpに直接アクセスして確認すること。

3. 「ログインとセキュリティ」でデバイスを管理する

amazon.co.jp → アカウントサービス →「ログインとセキュリティ」→「デバイスとアプリの管理」で、サインイン済みの端末一覧を確認できる。2026年6月時点で個別デバイスのアクセス取り消しも可能だ。

X(旧Twitter)のアクセス履歴を確認する

Xは3サービスの中で最も直接的なログイン履歴機能を持っている。

「設定とプライバシー」→「セキュリティとアカウントアクセス」→「アプリとセッション」と進む。ここに3つのサブメニューがある。

「アカウントアクセス履歴」にはログイン日時・使用デバイス・IPアドレスが一覧表示される。海外IPや見覚えのないデバイス名が並んでいたら、パスワードを即変更すべきだ。

「セッション」には現在アクティブなログインセッションが表示される。不審なセッションを個別にログアウトできるほか、「他のすべてのセッションからログアウト」で一括切断も可能だ。

「連携しているアプリ」も見落とせない。OAuthでアクセス権を付与したサードパーティアプリの一覧である。使っていないアプリが残っていたらアクセス権を取り消す。SIer時代の教訓だが、権限の棚卸しは「追加する時」ではなく「使わなくなった時」にやらないといつまでも残り続ける。

不審アクセスを見つけたときの対処フロー

不審アクセスを発見した場合、対処の優先順位を間違えると被害が拡大する。SIer時代の障害対応と同じで「止血→原因特定→再発防止」の順番が鉄則だ。

Step 1: 全デバイスを強制ログアウト

Google・Xともに「すべてのセッションからログアウト」機能がある。まずこれを実行して攻撃者のセッションを切断する。Amazonは「ログインとセキュリティ」→「デバイスとアプリの管理」から端末のアクセスを個別に取り消す。

Step 2: パスワードを変更する

強制ログアウト後、即座にパスワードを変更する。他サービスとの使い回しは厳禁だ。1Passwordなどのパスワードマネージャーでランダム生成するのが確実である。筆者は2019年にHave I Been Pwnedで自分のメールアドレスが漏洩リストに含まれていることを発見して以来、サイトごとにランダムパスワードを生成する運用に切り替えた。

Step 3: 2段階認証を有効化する

パスワード変更だけでは次の漏洩で再び侵入される。Googleはmyaccount.google.com/signinoptions/two-step-verificationから、Xは「セキュリティとアカウントアクセス」→「セキュリティ」→「2要素認証」から設定する。SMS認証よりも認証アプリ(Google Authenticator等)の方がSIMスワップ攻撃に対して強固だ。

Step 4: パスワードを使い回していた他サービスを確認する

これが最も面倒で、最も重要な作業だ。クレデンシャルスタッフィングは「1つのサービスで漏洩したID・パスワードの組み合わせを他サービスに片っ端から試す」攻撃である。漏洩元だけパスワードを変えても、同じパスワードを使い回していた他サービスは丸裸のままだ。Have I Been Pwnedで自分のメールアドレスを検索し、過去の漏洩に含まれていた場合は同じパスワードを使い回していた全サービスで変更する。

月1回の「ログイン棚卸し」を習慣にする

毎日やる必要はない。月1回、5分で終わる。

筆者は毎月1日の朝、コーヒーを淹れながら以下の3画面を開くルーティンにしている。

  1. Googleセキュリティ診断を開いて黄色・赤の警告がないか確認
  2. Amazonの「デバイスとアプリの管理」で見覚えのない端末がないか確認
  3. Xの「アカウントアクセス履歴」で海外IPのログインがないか確認

SIer時代に設計した監視アラートのヘルスチェックと発想は同じだ。Critical(不審ログインあり)なら即対処。Warning(古いデバイスが残っている)ならログアウト。Info(異常なし)ならそのまま閉じる。この3段階で判断すれば毎回迷わない。

※ 検証はGoogle Chrome 126 / iOS 19 / Android 16(2026年6月時点)で実施した。各サービスのUI配置はアップデートで変更される可能性がある。

FAQ

ログイン履歴に海外IPが表示されているが、VPNを使っていた可能性もある。どう判断すればいい?

VPNを使用していた場合、VPNサーバの所在地のIPアドレスが記録される。自分がVPN接続した日時と履歴の日時を照合し、一致しなければ不正アクセスの可能性が高いと判断する。VPNを使っていないのに海外IPがある場合は即座にパスワードを変更すること。

Amazonに「ログイン履歴」機能がないのはなぜ?代わりに何を見ればいい?

Amazonはサービス仕様としてログイン日時の一覧表示を提供していない(2026年6月時点)。代替として「注文履歴(非表示含む)」「ギフトカード残高」「デバイスとアプリの管理」の3箇所を確認し、異常がないか間接的に判断する。

2段階認証を設定していればログイン履歴の確認は不要?

不要にはならない。2段階認証はパスワード漏洩時の侵入難易度を上げるが、セッション乗っ取りやOAuth経由のアクセスには効かないケースがある。ログイン履歴の定期確認と2段階認証は併用が前提だ。

家族で同じGoogleアカウントを共有している場合、ログイン履歴はどうなる?

全員のデバイスが「お使いのデバイス」一覧に表示される。家族のスマホやタブレットが並んでいるのは正常だが、セキュリティ上はアカウント共有よりもGoogleファミリーグループで個別アカウントを持つ方が推奨される。共有アカウントでは誰の操作が不正アクセスかの判別が困難になる。

参考文献