🔑 パスワード漏洩チェック

パスワードを入力してください。SHA-1ハッシュ化後、先頭5文字のみをAPIに送信します。パスワード全文がサーバーに送られることはありません。

プライバシー保護:あなたのパスワードはブラウザ内でSHA-1にハッシュ化されます。APIにはハッシュの先頭5文字のみが送信され、残りのマッチングはすべてブラウザ内で行われます。パスワード全文が外部に送信されることは一切ありません。

データ漏洩とは何か

データ漏洩(Data Breach)とは、企業やサービスが保有する個人情報が、不正アクセスやセキュリティの不備により外部に流出することです。漏洩するデータには、メールアドレス、パスワード、クレジットカード情報、住所、電話番号などが含まれます。

過去には以下のような大規模漏洩が発生しています:

事件漏洩件数漏洩データ
Yahoo(2013年)30億件名前、メール、パスワード
LinkedIn(2021年)7億件メール、電話番号、職歴
Adobe(2013年)1.53億件メール、暗号化パスワード
Collection #1(2019年)7.7億件メール、パスワード

一度漏洩したパスワードは、ハッカーがクレデンシャルスタッフィング攻撃(漏洩したIDとパスワードの組み合わせを自動的に他のサービスに試す攻撃)に使用します。同じパスワードを複数のサービスで使い回していると、一つの漏洩が全アカウントの乗っ取りにつながる危険性があります。

k-Anonymityモデルの仕組み

このツールは、Have I Been Pwnedが提供するk-Anonymity APIを使用しています。このモデルにより、あなたのパスワード全文をどこにも送信せずに漏洩チェックが可能です。

🔐 k-Anonymityの仕組み(5ステップ)

  1. ハッシュ化 — ブラウザ内でパスワードをSHA-1ハッシュに変換します。例:password5BAA6...
  2. 先頭5文字を送信 — ハッシュの先頭5文字(例:5BAA6)のみをAPIに送信します
  3. 候補リストを受信 — APIは先頭5文字が一致するハッシュの後半部分と漏洩回数のリスト(約500〜800件)を返します
  4. ブラウザ内で照合 — 返されたリストの中に、あなたのハッシュの残り部分が含まれるかをブラウザ内で確認します
  5. 結果表示 — パスワード全文もハッシュ全文もサーバーに送信されないため、完全に安全です

このアプローチは、セキュリティ研究者のTroy Hunt氏とCloudflareが共同で設計しました。パスワードのハッシュ先頭5文字だけでは、元のパスワードを復元することは数学的に不可能です。

漏洩が見つかったら

パスワードがデータ漏洩に含まれていた場合、以下の手順で対処してください:

  1. そのパスワードを使っている全サービスで即座に変更する — 漏洩したパスワードはハッカーのデータベースに永久に残ります
  2. 各サービスに固有のパスワードを設定する — パスワードマネージャー(1Password、Bitwarden等)を使えば管理が楽になります
  3. 二要素認証(2FA)を有効にする — パスワードが漏洩してもアカウントを保護できます。認証アプリ(Google Authenticator等)がSMSより安全です
  4. ダークウェブモニタリングを利用する — NordVPNのDark Web Monitor機能は、あなたのメールアドレスが新たな漏洩に含まれた際に自動で通知してくれます
  5. 不審なログイン通知を確認する — 主要サービス(Google、Apple等)のセキュリティ設定で不審なアクセスがないか確認してください

安全なパスワードの作り方

  • 最低16文字以上 — 長さがセキュリティの最大の要因です
  • 大文字・小文字・数字・記号を混ぜる — ただし長さの方が重要です
  • パスフレーズを使う — 「correct-horse-battery-staple」のような無関係な単語の組み合わせは覚えやすく強力
  • 個人情報を含めない — 名前、誕生日、ペットの名前は避ける
  • パスワードマネージャーを使う — ランダムパスワードの生成・管理を自動化

漏洩チェッカーとは:あなたのアカウントは安全か

本ツールは、あなたのメールアドレスが過去のデータ漏洩事件に含まれていないかを確認するツールだ。Have I Been Pwned(HIBP)などの公開漏洩データベースと照合し、もし漏洩していたらどのサービス・いつ・どんな情報が流出したかを表示する。メールアドレスを入力するだけで、自分のアカウントがどの程度のリスクにさらされているかを把握できる。

過去の主な大規模漏洩事件

記憶に新しい大規模漏洩事件には、2013年のYahoo(30億アカウント)、2019年のFacebook(5億3,000万アカウント)、2021年のLinkedIn(7億アカウント)、2022年のTwitter(2億アカウント)などがある。これらに該当する人は、自分のメールアドレスとパスワードのペアが既にダークウェブで流通している。本ツールで確認し、該当するなら即座にパスワード変更が必要だ。

漏洩が見つかったらやるべきこと

漏洩が見つかった場合の対応手順は5つだ。1. 該当サービスのパスワードを即座に変更、2. 同じパスワードを他のサービスで使っていれば全て変更、3. 二要素認証(2FA)を有効化、4. 該当サービスのログイン履歴を確認して不審なログインがないか確認、5. クレジットカード情報も含まれていた場合はカード会社に連絡して停止処理。これらをスピード優先で実施すれば被害を最小化できる。

クレデンシャルスタッフィング攻撃のリスク

漏洩したメール+パスワードのペアは、攻撃者によって自動化ツールで他のサービスに対して試される。これを「クレデンシャルスタッフィング攻撃」と呼ぶ。たとえばLinkedInで漏洩したパスワードが、銀行・ECサイト・SNSで使い回されていれば、すべてのアカウントが連鎖的に乗っ取られる。漏洩自体を防ぐことはできないが、サービスごとに異なるパスワードを使えば被害は1サービスに留められる。

パスワードマネージャーで防ぐ

サービスごとに異なる強固なパスワードを人間の記憶だけで管理するのは現実的ではない。NordPass・1Password・Bitwarden・KeePassなどのパスワードマネージャーを使えば、各サービスにユニークなパスワードを自動生成・自動入力できる。本サイトのパスワードジェネレーターと組み合わせて、堅牢なパスワード運用を始めよう。

VPNと漏洩防止の関係

VPNは漏洩そのものを防ぐ技術ではないが、新しい漏洩を防ぐ補助的な役割を果たす。公衆WiFiでの通信盗聴を防ぐ、フィッシングサイトへのアクセスを警告する(Threat Protection機能)、ISPによる行動追跡を防ぐ、などだ。NordVPNなどの一部VPNには漏洩データベースとの照合機能も搭載されており、漏洩チェッカーとセットで使うとより包括的な防御が可能だ。詳しくはNordVPNレビューを参照してほしい。

よくある質問

このツールにパスワードを入力するのは安全ですか?
はい、安全です。パスワードはブラウザ内でSHA-1ハッシュに変換され、そのハッシュの先頭5文字のみがHave I Been PwnedのAPIに送信されます。パスワード全文もハッシュ全文もサーバーに送信されません。すべてのチェックはブラウザ内で完結します。
「漏洩あり」と出たら、すぐにハッキングされるということ?
いいえ、即座にハッキングされるわけではありません。ただし、そのパスワードはハッカーの辞書に載っているため、クレデンシャルスタッフィング攻撃で使われるリスクがあります。速やかにパスワードを変更してください。
「漏洩なし」でもパスワードは安全と言える?
Have I Been Pwnedのデータベースに含まれていないだけで、100%安全とは限りません。短いパスワードや推測しやすいパスワードは依然として危険です。16文字以上のランダムなパスワードを使うことを推奨します。
SHA-1は安全なハッシュ関数?
SHA-1は暗号化用途としては非推奨ですが、このk-Anonymityモデルではハッシュ全文が送信されないため問題ありません。送信されるのは先頭5文字のみであり、元のパスワードを復元することは不可能です。
メールアドレスの漏洩チェックはなぜ直接リンクなのですか?
メールアドレスのチェックにはAPIキーが必要であり、当サイトのサーバーを経由するとプライバシーリスクが発生します。Have I Been Pwnedの公式サイトで直接チェックするのが最も安全な方法です。
KS
Kai Sato · 広告運用歴5年 / VPN実務ユーザー
ジオターゲティング検証・海外SERP調査など業務でVPNを日常使用。実務経験に基づくレビューを執筆。プロフィール →

漏洩データからアカウントを守るなら

NordVPNのDark Web Monitorがあなたのメールアドレスを常時監視。新たな漏洩を検出したら即座に通知。

  • ダークウェブモニタリング標準搭載
  • Threat Protection(マルウェア・トラッカーブロック)
  • パスワードマネージャー NordPass との連携
🎁 70%オフ + 3ヶ月無料

NordVPNを試す →