はじめに
インターネットやスマートフォンでメールアドレスやパスワードを多くのサービスに利用することが当たり前な今日この頃。
個人に限らず、企業からも情報漏洩事件などが発生し、大きな被害がもたらされています。「自分のパスワードが漏洩していたらどうしよう...。」と眠れない日々を過ごす方もいらっしゃるのではないでしょうか?
そんな方のために、簡単に出来るメールアドレスやパスワードの漏洩調査+最低限必要な対策をまとめます。
※本投稿は、2025年9月時点の情報、及び、あくまで一個人のメモ書きと思ってお読みください
Have I been pwnedとは
Have I been pwnedとは、Microsoft Regional DirectorおよびMicrosoft Most Valuable Professional(MVP)を務めており、セキュリティ研究者としても活動しているTroy Hunt氏が2013年に創設した「実際に漏洩したデータ(アカウントやパスワード)を調査するためのサイト」です。
誰でも無料で利用することが出来ます
あくまでHave I been pwnedのデータベース内に登録されているメールアドレス、パスワードかを判断するものであり、完全に漏洩していないとは言い切れませんのでご注意ください
使い方
Have I been pwnedの使い方は、非常にシンプルです。
【アカウントの漏洩を確認する場合】
-
利用しているメールアドレスを入力し、「Check」をクリックする
-
結果が表示される
【パスワードの漏洩を確認する場合】
-
利用しているパスワードを入力し、「Check」をクリックする
-
結果が表示される
以上です。とても簡単でシンプルです。
実際に筆者のアカウントが漏洩しているか調査してみた
今回は私が実際に利用しているメールアドレス、パスワードを使って調査してみました。その結果は、漏洩...していませんでした!(結果は一瞬で表示されるため、結構ヒヤッとします。)
【アカウントの確認結果】
【パスワードの確認結果】
実際に「Have I been pwned」を試す際は、あくまで自己責任で...。必ず公式サイトであることを確認して行うようにご注意ください。
流出していた場合の結果画面はどうなる?
私の利用するアカウント、パスワードは無事漏洩していないとの結果だった(よかった!)ため、流出していそうなアカウントとパスワードを推測して試してみました。
【アカウントが流出していた場合】
下図のように禍々しい色で何件漏洩しているかが表示されます。
また、いつどの件で漏洩したかについても情報が表示されます。
【パスワードが流出していた場合】
「Oh no - pwned!」と表示され過去に漏洩した回数が表示されます。すぐに変えて!とのメッセージまでついています。
もしパスワード流出していた場合はどうすればよい?
-
すぐにパスワードを変更する
不正アクセスを受けてしまう可能性が高いと考えられるため、早急に長さ(例:12文字以上など)、複雑さ(例:小文字、大文字、数字、特殊文字を1文字以上含むなど)を兼ね備えたパスワードに変更しましょう。 -
多要素認証を有効化する
複数の要素(記憶情報、所持情報、生体情報のうち2つ以上)を用いた認証方式のことを「多要素認証」と呼びます。ID・パスワードだけではなく、多要素認証設定を有効化することで仮にパスワードが流出した場合でも、不正アクセスを防止することができます。この設定は多くのサービスで簡単に利用可能なため、ぜひ有効化しましょう。 -
適切なパスワード管理を行う
パスワードの使いまわしを避け、定期的に更新をするようにしましょう。
IPAの公式サイトでも「パスワードを「できるだけ長く」、「複雑で」、「使い回さない」ものとすること」を推奨しています。
まとめ
今回「Have I been pwned」の使い方を紹介しながら、実際に自分のメールアドレスやパスワードが漏洩していないかを調査してみました。幸い、私の情報は現時点では登録されていないようでしたが、情報漏洩は誰にでも起こりうるリスクです。今後も適切なパスワード管理を心がけながら、少しでもリスクを減らしていきたいと思います。
セキュリティを強化していく上ではまず現状を「知ること」が第一歩。気になった方は、チェックしてみてはいかがでしょうか?
参考資料