【初心者向け】Have I Been Pwnedでメールやパスワードの漏洩を確認する方法｜実例つきで安心解説！

「証券口座のID・パスワードがダークウェブで売られていた」というニュースを見て、不安になった方も多いのではないでしょうか。
勝手に自分の持ち株が売られていたり、他の国の株を買わされていたり…。

私は証券口座も持っていないですし、投資などもしていないので関係ないと思っていたのですが、やはりハッキングされるのは怖すぎるし、セキュリティ意識は絶対に高くもつべきだと改めて思いました。

とりあえず、私も同じように不安になってしまい、自分の情報が漏洩していないかを実際に確認してみました。

調べてみた結果、自分のメールアドレスやパスワードは漏洩していなかったのですが、調べる中で分かったこと、感じたことがいくつかあったので、この記事にまとめたいと思います。

この記事では、無料で使える情報漏洩チェックサイト「Have I Been Pwned（ハブ・アイ・ビーン・ポーンド）」を使って、自分のメールアドレスやパスワードが流出していないかを確認する方法について、実際の操作方法を交えて丁寧に解説していきます！。

Have I Been Pwned（HIBP）とは？｜まずは簡単に概要を知っておこう

「Have I Been Pwned（HIBP）」は、セキュリティ研究者であるTroy Hunt（トロイ・ハント）氏が運営する、世界的に信頼性の高い情報漏洩チェックサービスです。

データ漏洩事件が起きたとき、企業やサービスから流出したメールアドレスやパスワードのデータが不正に出回ることがあります。HIBPはそれらを収集し、公開された情報に自分のメールやパスワードが含まれていないかを検索できる仕組みになっています。

もちろん、すべての漏洩が公開されているわけではないので、「載っていない＝絶対安全」というわけではありませんが、ひとつのチェックとしてとても有効だと感じました。

メールアドレスの漏洩チェック方法｜数秒でできる安心ステップ

① HIBPのトップページへアクセス

まず、以下の公式サイトにアクセスします：

Have I Been Pwned

Have I Been Pwned: Check if your email address has been exposed in a data breach Have I Been Pwned allows you to check whether your email address has been exposed in a data breach.

② チェックしたいメールアドレスを入力

トップページ中央にある検索ボックスに、調べたいメールアドレスを入力します。たとえば、普段使っているGmailアドレスなどを入れてみてください。

③ 「pwned?」ボタンをクリック

ボタンを押すと、すぐに結果が表示されます。通信も高速で、数秒で終わります。

表示される結果と意味

• Good news — no pwnage found!
  　→ 良かったですね！そのメールアドレスは過去の漏洩データには含まれていません。
• Oh no — pwned!
  　→ 残念ながら、そのアドレスは過去に漏洩していたことがあるようです。どのサービスから、いつ、どんな情報が流出したのかが一覧で表示されます。

私も最初は「漏洩してたらどうしよう…」とドキドキしましたが、実際には「Good news」と出て少し安心しました。ただ、これで100%安全というわけではないので、今後も定期的にチェックしていこうと思いました。

パスワードの漏洩チェック方法｜文字列そのものが過去に流出していないか確認

メールアドレスと違って、パスワードのチェックはちょっと不安になる方も多いかもしれません。
「入力して大丈夫なのかな？」と感じるのも当然だと思います。ですが、Have I Been Pwnedのパスワードチェック機能は、**パスワード全体をサーバーに送信しない安全な仕組み（k-匿名性）**になっています。

私はこの仕組みを知ってから、「これなら安心して試せる」と思って実際にチェックしてみました。

① パスワード専用のチェックページへアクセス

下記のページにアクセスしてください：

Have I Been Pwned

Have I Been Pwned: Pwned Passwords Pwned Passwords is a huge corpus of previously breached passwords made freely available to help services block them from being used again.

画面を少し下にスクロールすると、パスワードを入力する検索ボックスがあります。

② チェックしたいパスワードを入力

自分が使っている、あるいは過去に使っていたパスワードを入力してみます。たとえば、単純な数字の並び（例：123456、000000など）は非常に多く使われていて、すでに何千万回も漏洩していることがあります。

③ 「pwned?」ボタンをクリック

数秒で結果が表示されます。

表示される結果の見方

• This password has been seen X times before
  　→ このパスワードはすでに過去の漏洩データに含まれており、X回使われていたようです。
  　たとえば、「123456」などは2,000万回以上漏洩していたりします。これはかなり危険だと思いました。
• Good news — no pwnage found!
  　→ 現時点ではこのパスワードが漏洩データには含まれていないようです。ただし、だからといって「絶対に安全」というわけではありません。推測されやすいパターンには気をつけた方が良いと思います。

私のよく使っている数字の羅列が、引っかかってしまっていました。
でも、自分のパスワードが流出したのではなく、パスワード自体が数字しか使っていなかったので、他の人が使っている似たような数字の羅列で引っかかってしまったのではないかと思います。

とりあえず、数字だけのパスワードは止めるべきだと感じました。

よくある疑問｜「単純なパスワードを調べたら漏洩していると出るのはなぜ？」

たとえば「aaa123」のような、数字と文字を組み合わせた単純な6文字のパスワードをチェックした場合、自分が実際に使っていなくても「漏洩済み」と出ることがあります。

これは、「aaa123」自体が他の誰かが使っていたことで漏洩データに含まれていたためです。
つまり、その文字列がどこかの誰かのアカウントで使われていて、過去に流出したことがあるということですね。

私自身も調べていて、「自分が使ってなくても、こんなに漏洩してるのか…」と驚きました。
だからこそ、誰かと同じパスワードを使うリスクはとても大きいと実感しました。

安全なパスワードを作るためのポイント

• 最低12文字以上（できればもっと長く）
• 英大文字・小文字・数字・記号を組み合わせる
• 名前・誕生日・電話番号などの「個人情報ベース」は避ける
• パスワードマネージャーを使って生成＆保存するのがおすすめ

安全なパスワードは「自分で覚えやすくて推測されにくいもの」か、「覚えられなくても大丈夫な仕組み（マネージャー）」が必須です。！

漏洩していたらどうすればいい？｜Have I Been Pwnedで発覚した後の対応まとめ

Have I Been Pwnedで調べた結果、もし自分のメールアドレスやパスワードが「pwned（漏洩）」と出てしまった場合、焦らず、落ち着いて以下の対策を行うことが大切だと思います。

1. 漏洩していたサービスの内容を確認する

HIBPでは、どのサービスから漏洩したかが一覧で表示されます。
たとえば、「LinkedIn」「Adobe」「Dropbox」など、実際に使ったことのあるサービスが出てくる場合があります。

それらのサービスに、今も同じIDやパスワードでログインできる状態であれば、すぐに変更することをおすすめします。

2. 他のサービスで同じパスワードを使い回していたら、全部変更する

一番怖いのが「リスト型攻撃」という手口です。
これは、漏洩したIDとパスワードを使って、他のサービスにもログインを試みる攻撃です。

つまり、たとえ漏洩したのが一つのサービスだけでも、同じパスワードを他でも使っていたら、芋づる式に乗っ取られる可能性があるということです。

「パスワードの使い回しって本当に危ないんだな…」と、私も今回調べていて強く感じました。

3. パスワードを強化する＆二段階認証を設定する

情報が漏洩していた・していなかったに関わらず、今のうちにセキュリティ強化をしておくと安心です。

• パスワードは12文字以上＋ランダムな文字列（英数・記号を含める）
• 各サービスでパスワードを使い分ける
• 2段階認証（2FA）を設定する

特に金融系や証券口座、メールアカウントは、二段階認証をオンにしておくと一気に安心感が増すと思います。

4. 不審なログイン履歴や通知がないかも確認しておく

GoogleやAppleなどの大手サービスでは、「ログイン履歴」や「不審なアクセス通知」が確認できる機能があります。

漏洩があったときに実際にログインされた形跡がないか、一度チェックしておくのも安心材料になります。

5. 今後も定期的にチェックする習慣を

一度安全だったからといって、ずっと大丈夫とは限りません。
数か月に1回くらい、定期的にHave I Been Pwnedでチェックしておくと、早期発見につながると思いました。

また、最近はブラウザ（ChromeやEdge）やスマホ（iPhoneの設定など）でも、漏洩チェック機能がついていることが多いので、それらも活用すると良いと思います。

おわりに｜不安を感じたら、すぐに確認してみるのが一番安心

今回、証券口座の認証情報がダークウェブで売買されていたというニュースをきっかけに、実際に自分のアドレスやパスワードを調べてみました。

結果的には何も漏洩しておらず、安心できたのですが、「調べるだけでこれだけ安心できるなら、やっておいてよかったな」と実感しました。

簡単なパスワードのままだと、自分が使っていなくても「漏洩している」と表示されてしまうこともあり、**やっぱりセキュリティ意識って本当に常に気を付けるべきです。

私は、ワードプレスのサイトをいくつかありますが、全て外国から不正侵略の試みがよく来ています。
wordfenceを導入しているので全て弾いてくれていますが、脅威を感じています。

一応、個人が出来る最大限のセキュリティ（２段階認証やスパム対策など）をしていますが、それでも不安が付きまといます。

あわせて読みたい

ワードプレスのサイトをハッキングされセキュリティを見直した【2025年4月4日】 今日、毎日ログイン時に見ているwordfenceで、侵入を許してしまった緑のマークが出ていました。このブログでです。セキュリティ対策は、wordfenceの他に、IP Location B...

この記事が、同じように不安を感じている方の役に立てば嬉しいです。
定期的なチェックと、日頃のパスワード管理を意識して、大切な情報を守っていきましょう。