🔑 パスワード漏洩チェック
パスワードを入力してください。SHA-1ハッシュ化後、先頭5文字のみをAPIに送信します。パスワード全文がサーバーに送られることはありません。
プライバシー保護:あなたのパスワードはブラウザ内でSHA-1にハッシュ化されます。APIにはハッシュの先頭5文字のみが送信され、残りのマッチングはすべてブラウザ内で行われます。パスワード全文が外部に送信されることは一切ありません。
📧 メールアドレス漏洩チェック
メールアドレスの漏洩チェックには、Have I Been Pwnedの公式サイトを直接利用することを推奨します。
なぜ直接リンクなのか?
メールアドレスの漏洩チェックはAPIキーが必要であり、第三者サーバーを経由させるとプライバシーリスクが生じます。プライバシーファーストの方針として、Have I Been Pwnedの公式サイトで直接チェックすることを推奨します。
メールアドレスの漏洩チェックはAPIキーが必要であり、第三者サーバーを経由させるとプライバシーリスクが生じます。プライバシーファーストの方針として、Have I Been Pwnedの公式サイトで直接チェックすることを推奨します。
データ漏洩とは何か
データ漏洩(Data Breach)とは、企業やサービスが保有する個人情報が、不正アクセスやセキュリティの不備により外部に流出することです。漏洩するデータには、メールアドレス、パスワード、クレジットカード情報、住所、電話番号などが含まれます。
過去には以下のような大規模漏洩が発生しています:
| 事件 | 漏洩件数 | 漏洩データ |
|---|---|---|
| Yahoo(2013年) | 30億件 | 名前、メール、パスワード |
| LinkedIn(2021年) | 7億件 | メール、電話番号、職歴 |
| Adobe(2013年) | 1.53億件 | メール、暗号化パスワード |
| Collection #1(2019年) | 7.7億件 | メール、パスワード |
一度漏洩したパスワードは、ハッカーがクレデンシャルスタッフィング攻撃(漏洩したIDとパスワードの組み合わせを自動的に他のサービスに試す攻撃)に使用します。同じパスワードを複数のサービスで使い回していると、一つの漏洩が全アカウントの乗っ取りにつながる危険性があります。
k-Anonymityモデルの仕組み
このツールは、Have I Been Pwnedが提供するk-Anonymity APIを使用しています。このモデルにより、あなたのパスワード全文をどこにも送信せずに漏洩チェックが可能です。
🔐 k-Anonymityの仕組み(5ステップ)
- ハッシュ化 — ブラウザ内でパスワードをSHA-1ハッシュに変換します。例:
password→5BAA6... - 先頭5文字を送信 — ハッシュの先頭5文字(例:
5BAA6)のみをAPIに送信します - 候補リストを受信 — APIは先頭5文字が一致するハッシュの後半部分と漏洩回数のリスト(約500〜800件)を返します
- ブラウザ内で照合 — 返されたリストの中に、あなたのハッシュの残り部分が含まれるかをブラウザ内で確認します
- 結果表示 — パスワード全文もハッシュ全文もサーバーに送信されないため、完全に安全です
このアプローチは、セキュリティ研究者のTroy Hunt氏とCloudflareが共同で設計しました。パスワードのハッシュ先頭5文字だけでは、元のパスワードを復元することは数学的に不可能です。
漏洩が見つかったら
パスワードがデータ漏洩に含まれていた場合、以下の手順で対処してください:
- そのパスワードを使っている全サービスで即座に変更する — 漏洩したパスワードはハッカーのデータベースに永久に残ります
- 各サービスに固有のパスワードを設定する — パスワードマネージャー(1Password、Bitwarden等)を使えば管理が楽になります
- 二要素認証(2FA)を有効にする — パスワードが漏洩してもアカウントを保護できます。認証アプリ(Google Authenticator等)がSMSより安全です
- ダークウェブモニタリングを利用する — NordVPNのDark Web Monitor機能は、あなたのメールアドレスが新たな漏洩に含まれた際に自動で通知してくれます
- 不審なログイン通知を確認する — 主要サービス(Google、Apple等)のセキュリティ設定で不審なアクセスがないか確認してください
安全なパスワードの作り方
- 最低16文字以上 — 長さがセキュリティの最大の要因です
- 大文字・小文字・数字・記号を混ぜる — ただし長さの方が重要です
- パスフレーズを使う — 「correct-horse-battery-staple」のような無関係な単語の組み合わせは覚えやすく強力
- 個人情報を含めない — 名前、誕生日、ペットの名前は避ける
- パスワードマネージャーを使う — ランダムパスワードの生成・管理を自動化
よくある質問
このツールにパスワードを入力するのは安全ですか?
はい、安全です。パスワードはブラウザ内でSHA-1ハッシュに変換され、そのハッシュの先頭5文字のみがHave I Been PwnedのAPIに送信されます。パスワード全文もハッシュ全文もサーバーに送信されません。すべてのチェックはブラウザ内で完結します。
「漏洩あり」と出たら、すぐにハッキングされるということ?
いいえ、即座にハッキングされるわけではありません。ただし、そのパスワードはハッカーの辞書に載っているため、クレデンシャルスタッフィング攻撃で使われるリスクがあります。速やかにパスワードを変更してください。
「漏洩なし」でもパスワードは安全と言える?
Have I Been Pwnedのデータベースに含まれていないだけで、100%安全とは限りません。短いパスワードや推測しやすいパスワードは依然として危険です。16文字以上のランダムなパスワードを使うことを推奨します。
SHA-1は安全なハッシュ関数?
SHA-1は暗号化用途としては非推奨ですが、このk-Anonymityモデルではハッシュ全文が送信されないため問題ありません。送信されるのは先頭5文字のみであり、元のパスワードを復元することは不可能です。
メールアドレスの漏洩チェックはなぜ直接リンクなのですか?
メールアドレスのチェックにはAPIキーが必要であり、当サイトのサーバーを経由するとプライバシーリスクが発生します。Have I Been Pwnedの公式サイトで直接チェックするのが最も安全な方法です。
KS
Kai Sato · 広告運用歴5年 / VPN実務ユーザー
ジオターゲティング検証・海外SERP調査など業務でVPNを日常使用。実務経験に基づくレビューを執筆。プロフィール →
漏洩データからアカウントを守るなら
NordVPNのDark Web Monitorがあなたのメールアドレスを常時監視。新たな漏洩を検出したら即座に通知。
- ダークウェブモニタリング標準搭載
- Threat Protection(マルウェア・トラッカーブロック)
- パスワードマネージャー NordPass との連携
🎁 70%オフ + 3ヶ月無料
NordVPNを試す →