「このパスワードはデータ漏洩で検出されたことがあります」——iPhoneやChromeでこの通知を見たことはないだろうか。見て見ぬふりをしている人も多いと思うが、これは無視していい警告ではない。
2024年に公開されたRockYou2024には 約100億件のパスワード が含まれていた。同年のMOAB(Mother of All Breaches)では 260億レコード が流出した。あなたのパスワードがこの中に含まれていないと言い切れるだろうか。
この記事では、パスワードが漏洩しているかを今すぐ確認する方法と、漏洩が見つかった場合の対処法を解説する。
あなたのパスワードはもう漏洩している
大げさではなく、統計的な事実だ。
2024年だけでも、日本の上場企業151社で189件の情報漏洩事故が発生し、約1,586万人分の個人情報が流出した(東京商工リサーチ調査)。4年連続で過去最多を更新している。世界規模では、2025年にCybernewsの調査で160億件のクレデンシャル(メール+パスワードの組み合わせ)がオンライン上で公開状態にあることが判明した。
問題は「漏洩するかどうか」ではなく、「いつ漏洩したか知っているかどうか」 だ。自分のパスワードが漏洩していることに気づいていなければ、攻撃者に先に使われるリスクがある。
漏洩を今すぐ確認する方法
パスワード漏洩を確認できるツールは複数ある。信頼性が高いものを紹介する。
Have I Been Pwned
セキュリティ研究者Troy Hunt氏が運営する業界標準のツールだ。950件以上の流出データベースから、175億件超のアカウント情報を検索できる。
- haveibeenpwned.com にアクセス
- メールアドレスを入力して検索
- 「Oh no — pwned!」が表示されたら、そのメールアドレスは過去の漏洩に含まれている
パスワード単体のチェックも可能だ。「Passwords」タブでパスワードを入力すると、過去の漏洩データに含まれているか確認できる。パスワードはSHA-1ハッシュの先頭5文字のみがサーバーに送信される仕組みで、パスワード自体がHave I Been Pwnedに漏れることはない。
NordPass Data Breach Scanner
NordPass にはデータ漏洩スキャナーが内蔵されている。NordPassに保存したパスワードが過去の漏洩データに含まれていないかを自動でチェックし、危険なパスワードを一覧表示してくれる。
Have I Been Pwnedが「メールアドレス単位」の確認なのに対し、NordPassは 保存済みパスワードすべてを一括チェック できるのが強みだ。漏洩が見つかったパスワードをその場で新しいものに変更する導線も用意されている。
Google パスワードチェックアップ
Chromeに保存したパスワードの漏洩チェックができる。
- Chrome → 設定 → パスワードとオートフィル → Google パスワードマネージャー
- 「パスワード チェックアップ」を実行
- 漏洩・再利用・脆弱なパスワードが一覧表示される
なお、Googleの「ダークウェブレポート」機能は 2026年2月に終了 している。パスワードチェックアップ自体は引き続き利用可能だ。
Apple「セキュリティに関する勧告」
iPhone/Macユーザーは、OS標準機能でチェックできる。
- iOS: 設定 → パスワード → セキュリティに関する勧告
- macOS: システム設定 → パスワード → セキュリティに関する勧告
「侵害されたパスワード」「再利用されたパスワード」「脆弱なパスワード」の3カテゴリで警告が表示される。
iPhone・Chromeの「侵害されたパスワード」とは
「侵害されたパスワード」という通知は、あなたのアカウントがハッキングされた という意味ではない。
正確には「過去に公開されたデータ漏洩の中に、あなたが使っているのと同じパスワードが含まれていた」ということだ。同じパスワードを使っている他の誰かのアカウントが漏洩し、そのパスワードが攻撃者の辞書に追加されている。
これが危険な理由は クレデンシャルスタッフィング だ。攻撃者は漏洩したメール+パスワードの組み合わせを、他のサービスに片っ端から試す。パスワードを使い回していれば、1つの漏洩から複数のアカウントが芋づる式に乗っ取られる。
漏洩が見つかったらやること
漏洩を確認したら、以下の手順で対応する。
即時対応(今すぐ)
- 漏洩したサービスのパスワードを変更 — 12文字以上、英大文字・小文字・数字・記号を含むランダムな文字列にする
- 同じパスワードを使い回している他のサービスも全て変更 — これが最も重要。1つの漏洩で複数のアカウントが危険になる
- 2要素認証(2FA)を有効化 — パスワードが漏洩しても、2FAがあればアカウントは守られる
- クレジットカード・銀行口座の取引履歴を確認 — 不正利用がないかチェック
恒久対策
- パスワードマネージャーを導入 — すべてのサービスで一意のランダムパスワードを使う。覚える必要はない。NordPassなら漏洩チェックも自動で行える
- パスキーに移行 — 対応サービスでは、パスワード自体をなくす。Google、Apple、GitHub等で利用可能
- 定期的に漏洩チェックを行う — Have I Been Pwnedの通知メール登録か、NordPassの自動スキャンを設定する
二度と漏洩で困らないための対策
パスワード漏洩の根本的な問題は「人間がパスワードを管理している」ことだ。人間は同じパスワードを使い回し、覚えやすい弱いパスワードを選ぶ。これを解決するのがパスワードマネージャーだ。
なぜNordPassなのか
パスワードマネージャーは複数あるが、僕が NordPass を推すのは以下の理由だ。
データ漏洩スキャナー内蔵 。保存したパスワードが漏洩データに含まれていないか、自動でチェックしてくれる。問題があればワンクリックで変更できる。
xChaCha20暗号化 。AES-256を超える次世代暗号化方式を採用。ゼロ知識アーキテクチャで、NordPass側もあなたのパスワードを見ることができない。
NordVPNとの連携 。NordVPN Plusプラン以上にはNordPassが含まれている。VPN + パスワード管理を1つのアカウントでまとめられる。
パスキー対応 。パスワードに代わる新しい認証方式「パスキー」の保存・管理にも対応している。
まとめ
| やること | 今すぐ | 恒久対策 |
|---|---|---|
| 漏洩チェック | Have I Been Pwned / NordPass | NordPassの自動スキャン |
| パスワード変更 | 漏洩サービス + 使い回し先 | パスワードマネージャーで一意化 |
| 2FA有効化 | 重要サービスから順に | 全アカウントに設定 |
| 認証方式の移行 | — | パスキー対応サービスから順次 |
100億件のパスワードが公開されている2026年、「自分は大丈夫」と思うのは楽観的すぎる。まずはHave I Been PwnedかNordPassで今すぐチェックしてほしい。漏洩が見つかっても、パスワード変更と2FA設定で被害は防げる。そして長期的には、パスワードマネージャーとパスキーで「漏洩しても問題ない」環境を作ることが最善の対策だ。