結論: 漏洩の確認は「Have I Been Pwned」に入力するだけ

筆者自身、Chromeのパスワード漏洩警告の記事を書いている最中に、自分のメールアドレスをHave I Been Pwnedに入れてみた。結果、2019年の某Webサービスからの流出リストに含まれていた。冷や汗が出た。

結論から言う。自分のメールアドレスが過去の情報漏洩事件に巻き込まれているかどうかは、Have I Been Pwned(以下HIBP)にアクセスしてメールアドレスを入力するだけで判明する。無料で、アカウント登録も不要だ。

2026年6月時点でHIBPのデータベースには約1,000件の漏洩事件、約149億件のアカウント情報が登録されている。日本の個人情報保護委員会の令和6年度年次報告によれば、漏えい等事案の報告処理件数は19,056件で前年度比57%増、過去最多を更新した。漏洩は他人事ではない。

HIBPの使い方: メールアドレスを入力して結果を読む

手順は単純だ。

まずhaveibeenpwned.comにアクセスする。トップページ中央の検索ボックスにメールアドレスを入力し、「pwned?」ボタンをクリック。英語のサイトだが、操作はこれだけなので言語の壁はない。

結果は2パターンに分かれる。

緑の画面で「Good news — no pwnage found!」が出れば、そのアドレスはHIBPのデータベースに含まれていない。ただしHIBPに登録されていない漏洩事件も存在するため、「絶対に安全」とは言い切れない。あくまで「既知の漏洩には含まれていない」という意味だ。

赤い画面で「Oh no — pwned!」が出た場合、漏洩が確認されている。画面を下にスクロールすると、漏洩元のサービス名、漏洩時期、流出したデータの種類(メールアドレス、パスワードハッシュ、氏名、電話番号など)が一覧で表示される。ここで重要なのは「何が漏れたか」を正確に把握することだ。メールアドレスだけならリスクは限定的だが、パスワードハッシュや平文パスワードが含まれていれば話は変わる。

漏洩が見つかったら最優先でやること

「Oh no — pwned!」が出たとき、慌てる前に手を動かす。SIer時代に基幹系サーバの運用保守をしていた経験から言うと、セキュリティインシデント対応は優先度の切り分けが命だ。

1. 漏洩元サービスのパスワードを変更する

漏洩元として表示されたサービスにまだアカウントがある場合、ログインしてパスワードを変更する。アカウントを削除済みならスキップしてよい。

2. 同じパスワードを使い回しているサービスを全部洗い出す

ここが最も重要なステップだ。筆者の場合、2019年に漏洩したサービスのアカウント自体は退会済みだったが、当時のパスワードを別のサービスで使い回していた。これが本当の危険だ。1つのサービスから漏れたパスワードが、芋づる式に他のアカウントへの不正アクセスに使われる。

Chromeならchrome://password-manager/passwordsを開くと使い回しの警告が表示される。iPhoneなら「設定」→「パスワード」→「セキュリティに関する勧告」で同様に検出可能だ。

3. 二段階認証(2FA)を有効化する

パスワード変更と併せて、対応しているサービスでは二段階認証を有効にする。仮にパスワードが流出しても、2FAが有効であれば不正ログインの大半は防げる。Google、Amazon、X(旧Twitter)、GitHubなど主要サービスはすべて対応済みだ。

4. パスワードマネージャーに移行する

筆者はこの一件を機に、1Passwordでサイトごとにランダムパスワードを生成する運用に切り替えた。Bitwarden(無料プランあり)やiCloudキーチェーン(Apple製品限定)でも同じことはできる。人間が覚えられるパスワードを使い回す運用自体を、ここでやめる。

通知登録で「次の漏洩」を自動検知する

HIBPにはメールアドレスを登録しておくと、そのアドレスが新たな漏洩事件に含まれた場合に通知を送ってくれる機能がある。

haveibeenpwned.com/NotifyMeにアクセスし、メールアドレスを入力して「notify me」をクリック。確認メールが届くのでリンクをクリックすれば登録完了だ。

SIer時代、毎朝アクセスログを目視チェックするルーティンで、深夜3時台に海外IPからSSH接続試行が200回記録されていたのを発見したことがある。ログを能動的に確認しなければ不正アクセスは見つからない。個人のWebサービスでも構造は同じだ。HIBPの通知登録は、その監視を自動化する仕組みにあたる。

2026年の主要漏洩事件と規模感

2026年に入ってからもWebサービスの情報漏洩は止まっていない。HIBPに登録された主な事件を時系列で挙げる。

2026年2月、米パン大手Panera BreadからShinyHuntersが約510万アカウントを流出させた。4月にはMcGraw-HillのSalesforce環境が侵害され、HIBPの記録で1,350万件のメールアドレスが漏洩している。同月、Citizens Financial GroupとFrost Bankが同一のサードパーティベンダー経由で同時に被害を受けた。5月には教育プラットフォームCanvasから3.65TBのデータが流出し、約2億7,500万人に影響が及んだと報じられている

これらは米国のサービスが中心だが、McGraw-HillやCanvasはグローバル展開している。日本在住でも、英語圏のサービスにアカウントを持っていれば漏洩リスクは変わらない。

「情報漏洩のお知らせ」メールが届いたときの見分け方

Webサービスから「お客様の情報が漏洩した可能性があります」というメールが届くケースがある。厄介なのは、この形式を模倣したフィッシングメールが存在することだ。

見分けるポイントは3つある。

第一に、メール内のリンクをクリックしない。正規の漏洩通知であっても、サービスの公式サイトに直接ブラウザからアクセスしてパスワード変更やセキュリティ設定の確認ができる。リンクを踏む理由がない。

第二に、送信元アドレスのドメインを確認する。ただしメールの送信元は偽装が可能なので、これ単体で確定判断はしない。

第三に、メールの内容をHIBPやサービスの公式ブログで裏取りする。該当サービスの漏洩がHIBPに登録されていれば信憑性は高い。動かないと意味がない。自分で裏を取る行動こそが、フィッシング被害を防ぐ最も確実な手段だ。

FAQ

Have I Been Pwnedにメールアドレスを入力しても安全?

安全だ。HIBPはオーストラリアのセキュリティ研究者Troy Hunt氏が2013年から運営しており、入力されたメールアドレスを保存・悪用する仕組みはない。公式のAboutページにプライバシーポリシーが明記されている。FBIやオーストラリア連邦警察ともデータ共有の実績がある、セキュリティ業界で広く信頼されたサービスだ。

漏洩が見つかったけど、そのサービスはもう退会済み。放置していい?

放置は危険だ。漏洩したパスワードを他のサービスで使い回していた場合、そちらのアカウントが不正アクセスの標的になる。退会済みサービスのパスワードと同一のものを使っているサービスがないか確認し、あれば即変更する。

漏洩元が「Cit0day」「Collection #1」のような名前で、どのサービスかわからない

これらは複数の漏洩データを集約した「コンピレーション」と呼ばれるデータセットだ。特定のサービスを名指しできないため、その時期に使っていた主要サービスすべてのパスワードを変更し、2FAを有効にするのが現実的な対処になる。

パスワードが過去の漏洩に含まれているか確認する方法は?

HIBPのPwned Passwordsページで確認できる。入力したパスワードはSHA-1でハッシュ化され、先頭5文字だけがサーバーに送信される「k-anonymity」方式を採用しているため、パスワード自体がHIBPに送信されることはない。

参考文献