パスワードが漏洩していないか今すぐ確認する方法

Q: Have I Been Pwnedにメールアドレスを入力しても大丈夫？

安全だ。HIBPは入力されたメールアドレスを保存・記録しない。パスワードチェック時は[k-anonymity](https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/#702702613)という仕組みで、SHA-1ハッシュの先頭5文字だけがサーバーに送信される。パスワード自体がHIBPに送られることは一切ない。運営者の[Troy Hunt氏](https://www.troyhunt.com/)は世界的に信頼されるセキュリティ研究者で、各国政府機関も利用している。

Q: パスワードを変更したら安全？

漏洩したサービスのパスワードを変更するのは第一歩だが、**同じパスワードを使い回している他のサービスも全て変更する必要がある**。攻撃者は[クレデンシャルスタッフィング](/ja/security/password-reuse-danger-credential-stuffing)で、漏洩したパスワードを他のサービスに自動で試す。1つだけ変更しても不十分だ。

Q: 漏洩チェックはどのくらいの頻度でやるべき？

最低でも数ヶ月に1回は確認したい。理想は自動監視の設定だ。[Have I Been Pwnedの通知メール](https://haveibeenpwned.com/NotifyMe)に登録すれば、新しい漏洩にメールアドレスが含まれたときにアラートが届く。NordPassの自動スキャン機能を使えば、保存済みパスワードを常時監視できる。

Q: 「データ漏洩」と「パスワード漏洩」の違いは？

**データ漏洩** はシステムへの不正アクセス全般を指す。メールアドレスや氏名、支払い情報など、さまざまなデータが流出する可能性がある。**パスワード漏洩** はその中でもパスワードが含まれるケースだ。パスワードが含まれる漏洩はアカウント乗っ取りに直結するため、リスクが格段に高い。

Q: パスキーがあればパスワードは不要になる？

[パスキー](https://fidoalliance.org/passkeys/)対応サービスでは、パスワードを完全に不要にできる。Google、Apple、GitHub、Amazon等で利用可能だ。公開鍵暗号に基づくため、フィッシングにも漏洩にも強い。ただし全サービスが対応しているわけではないので、パスキー非対応のサービスには引き続き強力な一意パスワードを設定しよう。

「このパスワードはデータ漏洩で検出されたことがあります」——iPhoneやChromeでこの通知を見たことはないだろうか。見て見ぬふりをしている人も多いと思うが、これは無視していい警告ではない。

2024年に公開されたRockYou2024には 約100億件のパスワード が含まれていた。同年のMOAB（Mother of All Breaches）では 260億レコード が流出した。あなたのパスワードがこの中に含まれていないと言い切れるだろうか。

この記事では、パスワードが漏洩しているかを今すぐ確認する方法と、漏洩が見つかった場合の対処法を解説する。

あなたのパスワードはもう漏洩している

大げさではなく、統計的な事実だ。

2024年だけでも、日本の上場企業151社で189件の情報漏洩事故が発生し、約1,586万人分の個人情報が流出した（東京商工リサーチ調査）。4年連続で過去最多を更新している。世界規模では、2025年にCybernewsの調査で160億件のクレデンシャル（メール+パスワードの組み合わせ）がオンライン上で公開状態にあることが判明した。情報窃取マルウェア（インフォスティーラー）経由で盗まれたデータが大半だ。

問題は「漏洩するかどうか」ではなく、「いつ漏洩したか知っているかどうか」 だ。自分のパスワードが漏洩していることに気づいていなければ、攻撃者に先に使われるリスクがある。パスワード以外の個人情報がどこまで漏れているか知りたい場合は、「OSINT入門｜自分の個人情報がどこまで漏れているか調べる方法」も参考にしてほしい。

漏洩を今すぐ確認する方法

パスワード漏洩を確認できるツールは複数ある。信頼性が高いものを紹介する。

Have I Been Pwned

セキュリティ研究者Troy Hunt氏が運営する業界標準のツールだ。963件以上の漏洩サイトから、175億件超のアカウント情報を検索できる。

haveibeenpwned.com にアクセス
メールアドレスを入力して検索
「Oh no — pwned!」が表示されたら、そのメールアドレスは過去の漏洩に含まれている

パスワード単体のチェックも可能だ。「Passwords」タブでパスワードを入力すると、過去の漏洩データに含まれているか確認できる。パスワードはSHA-1ハッシュの先頭5文字のみがサーバーに送信されるk-anonymityという仕組みで、パスワード自体がHave I Been Pwnedに漏れることはない。

初めてHIBPにメールアドレスを通すと、複数の漏洩にヒットして驚く人が多い。登録したことすら忘れていたサービスばかりだ。Redditでも「まさか自分が」という投稿は定番で、漏洩チェックは「やっておいた方がいい」ではなく「やらないとまずい」ものだと実感する瞬間になる。

NordPass Data Breach Scanner

NordPass にはデータ漏洩スキャナーが内蔵されている。NordPassに保存したパスワードが過去の漏洩データに含まれていないかを自動でチェックし、危険なパスワードを一覧表示してくれる。

Have I Been Pwnedが「メールアドレス単位」の確認なのに対し、NordPassは 保存済みパスワードすべてを一括チェック できるのが強みだ。漏洩が見つかったパスワードをその場で新しいものに変更する導線も用意されている。

Google パスワードチェックアップ

Chromeに保存したパスワードの漏洩チェックができる（Google公式ヘルプ）。

Chrome → 設定 → パスワードとオートフィル → Google パスワードマネージャー
「パスワードチェックアップ」を実行
漏洩・再利用・脆弱なパスワードが一覧表示される

なお、Googleの「ダークウェブレポート」機能は 2026年2月に終了している。パスワードチェックアップ自体は引き続き利用可能だ。

Apple「セキュリティに関する勧告」

iPhone/Macユーザーは、OS標準機能でチェックできる。

iOS: 設定 → パスワード → セキュリティに関する勧告
macOS: システム設定 → パスワード → セキュリティに関する勧告

「侵害されたパスワード」「再利用されたパスワード」「脆弱なパスワード」の3カテゴリで警告が表示される。

iPhone・Chromeの「侵害されたパスワード」とは

「侵害されたパスワード」という通知は、あなたのアカウントがハッキングされた という意味ではない。

正確には「過去に公開されたデータ漏洩の中に、あなたが使っているのと同じパスワードが含まれていた」ということだ。同じパスワードを使っている他の誰かのアカウントが漏洩し、そのパスワードが攻撃者の辞書に追加されている。

これが危険な理由は クレデンシャルスタッフィング だ。攻撃者は漏洩したメール+パスワードの組み合わせを、他のサービスに片っ端から試す。パスワードを使い回していれば、1つの漏洩から複数のアカウントが芋づる式に乗っ取られる。詳しくは「パスワード使い回しはなぜ危険？攻撃の仕組みと対策」で解説している。

漏洩が見つかったらやること

漏洩を確認したら、以下の手順で対応する。

即時対応（今すぐ）

漏洩したサービスのパスワードを変更 — 12文字以上、英大文字・小文字・数字・記号を含むランダムな文字列にする
同じパスワードを使い回している他のサービスも全て変更 — これが最も重要。1つの漏洩で複数のアカウントが危険になる
2要素認証（2FA）を有効化 — パスワードが漏洩しても、2FAがあればアカウントは守られる。SMS認証ではなく認証アプリを使おう（「SMS認証はもう危険？安全な2FAへの乗り換え方」）
クレジットカード・銀行口座の取引履歴を確認 — 不正利用がないかチェック

恒久対策

パスワードマネージャーを導入 — すべてのサービスで一意のランダムパスワードを使う。覚える必要はない。漏洩チェックを自動で行えるマネージャーが理想的だ
パスキーに移行 — 対応サービスでは、パスワード自体をなくす。Google、Apple、GitHub等で利用可能
定期的に漏洩チェックを行う — Have I Been Pwnedの通知メール登録か、NordPassの自動スキャンを設定する

二度と漏洩で困らないための対策

パスワード漏洩の根本的な問題は「人間がパスワードを管理している」ことだ。人間は同じパスワードを使い回し、覚えやすい弱いパスワードを選ぶ。これを解決するのがパスワードマネージャーだ。

なぜNordPassなのか

パスワードマネージャーは複数あるが、僕が NordPass を推すのは以下の理由だ。

データ漏洩スキャナー内蔵 。保存したパスワードが漏洩データに含まれていないか、自動でチェックしてくれる。問題があればワンクリックで変更できる。

xChaCha20暗号化 。AES-256を超える次世代暗号化方式を採用。ゼロ知識アーキテクチャで、NordPass側もあなたのパスワードを見ることができない。

NordVPNとの連携 。NordVPN Plusプラン以上にはNordPassが含まれている。VPN + パスワード管理を1つのアカウントでまとめられる。

パスキー対応 。パスワードに代わる新しい認証方式「パスキー」の保存・管理にも対応している。

パスワードマネージャーの選び方や機能比較は「NordPassレビュー」で詳しく解説している。企業・チームでのパスワード管理を検討しているなら「NordPass Businessレビュー」も参考になるだろう。また、パスワード漏洩だけでなく中小企業のセキュリティ対策全般については「中小企業のサイバーセキュリティガイド」でまとめている。

よくある質問

Have I Been Pwnedにメールアドレスを入力しても大丈夫？

安全だ。HIBPは入力されたメールアドレスを保存・記録しない。パスワードチェック時はk-anonymityという仕組みで、SHA-1ハッシュの先頭5文字だけがサーバーに送信される。パスワード自体がHIBPに送られることは一切ない。運営者のTroy Hunt氏は世界的に信頼されるセキュリティ研究者で、各国政府機関も利用している。

パスワードを変更したら安全？

漏洩したサービスのパスワードを変更するのは第一歩だが、同じパスワードを使い回している他のサービスも全て変更する必要がある。攻撃者はクレデンシャルスタッフィングで、漏洩したパスワードを他のサービスに自動で試す。1つだけ変更しても不十分だ。

漏洩チェックはどのくらいの頻度でやるべき？

最低でも数ヶ月に1回は確認したい。理想は自動監視の設定だ。Have I Been Pwnedの通知メールに登録すれば、新しい漏洩にメールアドレスが含まれたときにアラートが届く。NordPassの自動スキャン機能を使えば、保存済みパスワードを常時監視できる。

無料のパスワードマネージャーで十分？

Google パスワードマネージャーなど無料ツールは基本的な保存と漏洩チェックに対応している。ただしクロスプラットフォーム同期や高度な漏洩スキャン、安全な共有機能が不足しがちだ。アカウント数が多い場合は、NordPassのような専用マネージャーの方が漏洩アラートの即時通知やデバイス横断での利用で優れている。詳しくは「パスワードが覚えられない？もう覚えなくていい」を参照。

「データ漏洩」と「パスワード漏洩」の違いは？

データ漏洩 はシステムへの不正アクセス全般を指す。メールアドレスや氏名、支払い情報など、さまざまなデータが流出する可能性がある。パスワード漏洩 はその中でもパスワードが含まれるケースだ。パスワードが含まれる漏洩はアカウント乗っ取りに直結するため、リスクが格段に高い。

パスキーがあればパスワードは不要になる？

パスキー対応サービスでは、パスワードを完全に不要にできる。Google、Apple、GitHub、Amazon等で利用可能だ。公開鍵暗号に基づくため、フィッシングにも漏洩にも強い。ただし全サービスが対応しているわけではないので、パスキー非対応のサービスには引き続き強力な一意パスワードを設定しよう。

もう使っていないサービスの漏洩も気にするべき？

気にするべきだ。何年も前にやめたサービスでも、そこで使っていたパスワードを他のアクティブなアカウントで使い回していれば危険は残る。古い漏洩データは攻撃者のデータベースに永久に残る。HIBPで確認し、使い回していたパスワードがあれば変更する。可能なら不要なアカウント自体を削除しておこう。

まとめ

やること	今すぐ	恒久対策
漏洩チェック	Have I Been Pwned / NordPass	NordPassの自動スキャン
パスワード変更	漏洩サービス + 使い回し先	パスワードマネージャーで一意化
2FA有効化	重要サービスから順に	全アカウントに設定
認証方式の移行	—	パスキー対応サービスから順次

100億件のパスワードが公開されている2026年、「自分は大丈夫」と思うのは楽観的すぎる。まずはHave I Been PwnedかNordPassで今すぐチェックしてほしい。漏洩が見つかっても、パスワード変更と2FA設定で被害は防げる。そして長期的には、パスワードマネージャーとパスキーで「漏洩しても問題ない」環境を作ることが最善の対策だ。

NordPass

NordVPN開発元のパスワードマネージャー

パスワード・パスキー・クレカ情報を一元管理
ゼロ知識アーキテクチャ（運営側も閲覧不可）
データ漏洩スキャナー搭載