Have I Been Pwnedの使い方と安全性|メールアドレス流出確認

Have I Been Pwned(HIBP)は、過去のデータ漏洩事件に自分のメールアドレスが含まれているかを無料で確認できるツールです。Microsoftの地域ディレクターも務めるセキュリティ研究者トロイ・ハント氏が運営しており、政府機関や企業でも採用されている世界標準のサービスです。

「Pwned(ポウンド)」はネットスラングで「やられた・情報を盗まれた」という意味。サイト名は「私は(情報を)盗まれてしまったのか?」という問いかけです。

基本的な使い方

  1. haveibeenpwned.com にアクセス
  2. 確認したいメールアドレスを入力して検索
  3. 結果を確認する
画面の色表示意味
緑色Good news — no pwnage found!流出記録なし。現在のところ安全
赤色Oh no — pwned!過去の漏洩に含まれている

安全に使える理由

「自分のアドレスを入力して大丈夫か?」と心配になる人もいますが、HIBPはプライバシー保護に配慮した設計になっています。

入力されたアドレスを収集して悪用することはありません。パスワード確認機能では「k-Anonymity(k-匿名性)」という手法を使い、パスワードそのものをサーバーに送信せずに照合できます。

「pwned!」と出た時の対処法

ステップ1:流出元を確認する
画面下部に、どのサービスから・いつ・どのデータ(メール・パスワード・生年月日など)が漏れたかが一覧表示されます。

ステップ2:該当サービスのパスワードを即座に変更する
漏洩したサービスのパスワードをすぐに変更します。他のサービスでも同じパスワードを使い回している場合は、そちらも全て変更が必要です。漏れたリストを使って他サイトへのログインを試みる「パスワードリスト攻撃」が実際に行われています。

ステップ3:二要素認証(2FA)を有効にする
パスワードが漏れても、SMSや認証アプリ(Google Authenticatorなど)による二要素認証が設定されていれば、不正ログインを物理的に防げます。

よくある質問

Q. 知らないサイト名が流出元として表示された
そのサイトが運営する別サービスや、過去に利用した古いサービス、または買収した企業のデータである可能性があります。HIBPの解説文を読んで心当たりを探りましょう。

Q. パスワードの検索機能は使っても安全?
安全です。パスワードそのものはサーバーに送信されない仕組みになっています。ただし「安全と出た=推測されにくい」ではないため、強いパスワードの設定は別途必要です。

Q. 将来の漏洩を知らせてくれる機能はある?
あります。「Notify me」に登録しておくと、新しい漏洩事件が発生してあなたのアドレスが含まれていた場合にアラートメールが届きます。設定しておくことを強く推奨します。

まとめ

  • Have I Been Pwnedは世界で最も信頼されているデータ漏洩確認ツール
  • メールアドレスを入力するだけで過去の流出履歴を即座に確認できる
  • 「pwned!」と出たらパスワードの使い回しを点検して即座に変更する
  • 二要素認証(2FA)の導入が最も効果的な不正ログイン対策
  • 「Notify me」に登録して将来の漏洩にも備える
おすすめの記事