「大きな情報漏洩がありました」というニュースを見るたびに、自分のアカウントは大丈夫なのだろうかと不安になる。でも具体的に何をどう確認すればいいのか、いざとなると手が止まる。そういう経験をした方は多いと思います。

情報漏洩は、特定の企業や特定の日付の事件として報じられます。ただ、利用者側がやるべきことは、実はどの事件でもほとんど同じです。「自分の情報が出回っていないかを確認する」「もし出回っていたら、被害が広がらないよう順番に手を打つ」「そもそも盗まれても入られない状態にしておく」。この3つに集約できます。

この記事では、一過性のニュースに振り回されず、いつでも使える恒常的な確認・対処の手順を整理します。使う道具はすべて無料で、多くはスマホやパソコンにすでに入っているものです。過去に国内で起きた実例にも軽く触れますが、主眼はあくまで「どんな漏洩でも通用するやり方」に置きます。

この記事では、次の疑問を順番にほどいていきます。

  • 自分のメールアドレスやパスワードが漏れているか、どうやって確認するのか
  • 漏洩の確認ツールには何ができて、何ができないのか(限界)
  • 「漏れていた」とわかったとき、何から手をつければいいのか(優先順位)
  • 盗まれても不正ログインされない状態は、どう作るのか(2段階認証・パスキー)
  • 偽のログイン画面やフィッシングを、どこを見て見分けるのか

漏洩を確認する最初の入り口、Have I Been Pwned

まず「自分のメールアドレスが過去の漏洩に含まれているか」を確認する定番の方法が、Have I Been Pwned(ハブ・アイ・ビーン・プウンド、以下HIBP)というサービスです。「pwned」はネットスラングで「やられた/乗っ取られた」を意味します。

HIBPは、セキュリティ研究者のTroy Hunt(トロイ・ハント)氏が2013年に立ち上げた無料サービスです。世界中で公表・流出したデータ侵害の情報を集約し、そこに含まれるメールアドレスを検索できるようにしたものです。Hunt氏はMicrosoftのRegional Directorを務める著名な専門家で、このサービスは各国の公的機関やパスワード管理ツールからも参照される、事実上の標準的な存在になっています。

使い方はシンプルです。

  1. ブラウザで公式サイト(https://haveibeenpwned.com/)を開きます。よく似た偽サイトに注意し、URLが正確に一致しているか確認してください。
  2. 検索欄に、確認したいメールアドレスを入力します。
  3. 「pwned?」ボタンを押します。
  4. そのアドレスが含まれていた漏洩事案の一覧が表示されます。含まれていなければ「Good news」と表示されます。

パスワード自体を確かめたいときは、https://haveibeenpwned.com/Passwords を使います。ここが少し気の利いた設計になっていて、入力したパスワードはそのまま送信されません。パスワードのハッシュ(不可逆に変換した文字列)の先頭一部だけをサーバーに送り、候補を絞り込んで手元で照合する「k-匿名性」という仕組みを採用しています。とはいえ、自分の生パスワードを検索窓に打ち込むこと自体に抵抗があるなら、後述するブラウザやパスワードマネージャーの機能を使う方が安心です。

HIBPの限界を理解しておく

ここで大事なのは、HIBPは万能ではないという点です。初めて使うと「ここで問題なしと出たから安全だ」と早合点しがちですが、それは誤りです。

HIBPが照合できるのは、あくまで「公表・入手済みの漏洩データ」だけです。まだ表沙汰になっていない漏洩、攻撃者の手元にとどまっている流出、公表されていても提供元がデータを渡していないケースは、当然ヒットしません。「Good news」は「過去に確認された漏洩には入っていなかった」という意味であって、「絶対に安全」の保証ではないのです。

逆に、ヒットした場合も「そのアドレスがどこかの漏洩に含まれていた」という事実がわかるだけで、いま現在そのパスワードで不正ログインされているという意味ではありません。過剰に怖がる必要はなく、次章以降の手順を淡々と進めれば十分です。

もう一つ知っておくと便利なのが、HIBPの「Notify me」機能です。自分のメールアドレスを登録しておくと、そのアドレスが今後新たに公表される漏洩に含まれた場合、メールで通知が届きます。単発の検索だけでなく、継続的な見張り役として登録しておくと、次の事案に自分から気づきに行かなくても済みます。日本語には対応していませんが、操作は「メールアドレスを入力して登録し、確認メールのリンクを押す」だけなので難しくありません。

ブラウザとパスワードマネージャーの漏洩警告を使う

HIBPは「単発で調べる」道具ですが、日常的な監視は、ふだん使っているブラウザやスマホに任せるのが現実的です。主要なツールには、保存したパスワードを漏洩リストと自動照合し、危険なものを警告する機能が備わっています。

代表的なものが、GoogleパスワードマネージャーとAppleのiCloudキーチェーンです。

Googleの「パスワードチェックアップ」は、Googleアカウントに保存したパスワードを、漏洩データベースと照合してくれます。パソコンのChromeなら、右上のメニューから「パスワードと自動入力」→「Google パスワード マネージャー」を開き、左側の「チェックアップ」を選びます。直接 https://passwords.google.com/checkup/start を開いてログインしてもかまいません。ここで「漏洩したパスワード」「使い回しているパスワード」「安全性の低いパスワード」の3種類を洗い出せます。

なお、Googleから「保存したパスワードの一部がウェブ上に漏洩しました」というメールが届いても、それはGoogleアカウント自体が乗っ取られたという意味ではありません。あなたが保存していた「別のサイトのパスワード」が、そのサイト側の漏洩で流出した可能性を知らせているだけです。ここは慌てやすいポイントなので、落ち着いて該当サイトのパスワードだけ変えれば大丈夫です。

iPhoneやMacを使っているなら、iCloudキーチェーンの「セキュリティに関する勧告」が同じ役割を果たします。iPhoneなら「設定」→「パスワード」を開き、Face IDやTouch IDで認証したうえで「セキュリティに関する勧告」を確認します。Appleが保持する漏洩リストと保存済みパスワードが一致すると、「このパスワードはデータ漏洩で検出されたことがあるため…」という警告が出ます。この照合も暗号化された状態で行われ、パスワードそのものがAppleに送られることはありません。

主な確認ツールを整理すると次のようになります。

ツール主な確認対象使う場面特徴・限界
Have I Been Pwned任意のメールアドレス/パスワード気になったときに単発で調べる公表済み漏洩のみ。網羅ではない
GoogleパスワードチェックアップGoogleに保存した全パスワードChromeやAndroidを日常的に使う人漏洩・使い回し・脆弱を一括で診断
iCloudキーチェーン(セキュリティ勧告)iCloudに保存した全パスワードiPhone・Macを使う人OSに常駐し自動で警告
独立系パスワードマネージャー登録した全アカウントブラウザやOSをまたいで使う人サービス横断で監視できる

どれか一つでも常時オンにしておけば、次に漏洩があったときも自動で気づける確率が上がります。まだ何も使っていないなら、まずは手持ちのブラウザやスマホの機能を有効にするところから始めるのがおすすめです。

「漏れていた」とわかったときの対処、優先順位

確認して「漏れている」と出たとき、あるいは大きな漏洩ニュースで自分が対象かもしれないと感じたとき。ここで大事なのは、手当たり次第に動くのではなく、効く順番で手を打つことです。優先順位は次のとおりです。

1. まず、漏れたアカウントのパスワードを今すぐ変える。 現在も使っているアカウントが対象なら、これが最優先です。新しいパスワードは、他のどこでも使っていない固有のものにします。「少しだけ変えた似たパスワード」は、攻撃者の想定内なので避けてください。

2. 同じパスワードの「使い回し」を棚卸しする。 実は、単発の漏洩そのものより怖いのが使い回しです。攻撃者は、盗んだメールアドレスとパスワードの組み合わせを、ECサイトや金融機関、SNSなど他のサービスに片っ端から試します。これを「リスト型攻撃(パスワードリスト攻撃/クレデンシャルスタッフィング)」と呼びます。IPA(情報処理推進機構)やJPCERT/CCも、この攻撃による被害が後を絶たないとして、パスワードを使い回さないよう繰り返し呼びかけています。同じパスワードを使っていたサービスをすべて洗い出し、順に変更します。どこで使い回しているかを人力で思い出すのは難しいので、前章のパスワードチェックアップ機能が「使い回し」を一覧してくれるのが、ここで効いてきます。

3. 2段階認証(多要素認証)やパスキーを設定する。 パスワードを変えても、次の漏洩でまた盗まれる可能性は残ります。そこで、盗まれても入られない仕組みを足します。詳しくは次章で説明します。

4. 金銭に関わるアカウントを監視する。 ネットバンキング、クレジットカード、キャッシュレス決済、通販サイトなど、お金が動くサービスは、身に覚えのないログイン通知や取引履歴がないかを確認します。多くのサービスにはログイン履歴や通知設定があるので、これを有効にしておくと異変に早く気づけます。

解約済み・休眠中のアカウントも油断できません。「もう使っていないメールアドレス」でも、当時のパスワードを他サービスで使い回していれば、そちらが狙われます。過去に使ったサービスも、使い回しがあれば変更対象です。

盗まれても入られない状態を作る、2段階認証とパスキー

パスワードを変えるのは「対症療法」です。より根本的なのは、パスワードが漏れても不正ログインされない状態を作ることです。ここで登場するのが2段階認証とパスキーです。

2段階認証(2要素認証・多要素認証)は、IDとパスワードに加えて、もう一つの確認を求める仕組みです。スマホアプリが生成する確認コードや、SMSで届くコードなどが代表例です。仮にパスワードを盗まれても、攻撃者は2つ目の要素を持っていないのでログインできません。コードは時間やログインのたびに変わるため、盗み見されても再利用が難しいのが利点です。金融やメールなど重要なアカウントには、最優先で設定する価値があります。

さらに一歩進んだのがパスキー(passkey)です。パスキーはFIDO(ファイド)という国際規格に基づくパスワードレス認証で、公開鍵暗号という技術を使います。仕組みはこうです。パスキーを作るとき、端末の中に「秘密鍵」を、サービス側に「公開鍵」を置きます。ログイン時は、指紋や顔認証などで端末内の秘密鍵を使って署名し、サービス側が公開鍵で検証します。パスワードのような「合言葉」をやり取りしないので、そもそも盗む対象がありません。

パスキーが優れているのは、フィッシングにほぼ原理的に強い点です。パスキーには「登録したサイトのドメイン」が一緒に記録されていて、ドメインが一致しないと認証が働きません。つまり、後述する偽ログイン画面に誘導されても、パスキーは正規ドメインでないと反応しないため、うっかり資格情報を渡してしまう事故が起きにくいのです。

2つの方式を比べると次のようになります。

項目2段階認証(コード方式)パスキー(FIDO)
追加で使うもの確認コード(アプリ・SMSなど)端末内の秘密鍵+生体認証
パスワードの要否必要(+コード)不要にできる
フィッシング耐性一定程度(偽サイトにコードを入れる余地は残る)高い(ドメイン不一致では動かない)
導入の手軽さ設定が簡単で対応サービスが多い対応サービスは拡大中だが発展途上

現実的な進め方としては、まず主要なアカウントに2段階認証を入れ、対応しているサービスから順にパスキーへ移していくのが無理のない道筋です。両方をいきなり完璧にする必要はありません。重要なものから一つずつで十分です。

偽ログイン画面・フィッシングの見分け方

漏洩の確認と並んで大事なのが、そもそも自分でパスワードを渡してしまわないことです。情報漏洩のニュースが出ると、それに便乗した偽メールや偽サイトがほぼ確実に出回ります。「パスワードを変更してください」ともっともらしく促し、偽のログイン画面に誘導する手口です。

ここで一番の判断材料になるのが、URL(ドメイン名)です。フィッシング対策協議会の「フィッシング対策ガイドライン」でも、ドメイン名は利用者が安全性を判断するうえで最も重要な要素とされています。見分けの基本は次のとおりです。

  • メールやSMSのリンクを踏まない。 案内が本物か気になるときは、リンクではなく、公式サイトやアプリを自分でブックマークや検索から開いて確認します。この「自分から正規の入り口を開く」習慣が、最も効きます。
  • アドレスバーのドメインを確認する。 ログイン画面が出たら、URLの「ドメイン名」(例: example.com の部分)が、そのサービスの正規ドメインと完全に一致しているかを見ます。example-login.comexample.co.jp.example.net のように、正規名に似せて別の文字を足したものは偽物の典型です。
  • 鍵マーク(https)だけで安心しない。 通信が暗号化されているかどうかと、相手が本物かどうかは別問題です。偽サイトでも鍵マークは付きます。あくまでドメイン名で判断してください。
  • 心当たりのない緊急・不安をあおる文面を疑う。 「至急」「アカウント停止」「未払い」など、焦らせて考える時間を奪うのがフィッシングの常套手段です。急かされたと感じたら、いったん手を止めるのが正解です。

もし偽画面にID・パスワードを入力してしまったら、対象はその1サイトにとどまりません。同じパスワードを使い回している全サービスが変更対象になります。前章までの「使い回し棚卸し」と「2段階認証・パスキー」が、ここでも効いてきます。

URLを見ても防げない「供給網型」攻撃という厄介さ

ここまでは「偽サイトに誘導される」典型例でした。ただ、URLを注意深く見ても気づきにくい攻撃も存在します。それが供給網型(サプライチェーン)攻撃です。

過去には、polyfill.io という外部スクリプト配信サービスを経由した事例が国内で話題になりました。多くのウェブサイトは、便利な機能を外部のスクリプトを読み込んで実現しています。その配信元が悪意あるコードを差し込むと、正規サイトを開いているのに、利用者のブラウザで不審なログイン画面が表示されてしまう、という構図です。国内でも複数の正規サイトで、この経路による不審な認証画面が確認され、運営各社が対応にあたった例が報じられています。polyfill.ioの危険性自体は2024年から専門家に指摘されていたものです。

この型の怖いところは、アドレスバーのドメインは正規のまま、という点です。だからこそ、次のような「入力する前の一呼吸」が効きます。

  • いつも通り使っているサイトで、急にログインを求められたら、一度立ち止まる。とくに「さっきログインしたばかりなのに、また求められた」ときは要注意です。
  • パスキーを設定しておけば、正規ドメインでも「いつもと違う挙動」に対して人が判断を誤りにくくなります(パスキーは合言葉を渡さないため)。
  • 各社が「不正アクセスや情報漏えいは確認していない」と告知しても、それは「サイト側のデータベースが破られていない」という意味です。自分が偽画面に入力した情報がどこへ行ったかは、サイト運営側には追跡できません。ここは混同しやすいので、告知の意味を正しく読み解いてください。

大規模な漏洩の例としては、ISP(インターネット接続事業者)のメール基盤が不正アクセスを受け、多数の利用者のメールアドレスとパスワードが流出する、といった事案も起こり得ます。こうした事案でも、利用者側の対処は本記事の手順とまったく同じです。現用アカウントのパスワードを変え、使い回しを棚卸しし、2段階認証やパスキーを足し、金銭系を監視する。事件の固有名詞が変わっても、やることは変わりません。

恒常的に続けたい、漏洩に強い習慣

最後に、単発の対処ではなく「漏れても被害が広がらない体質」を作るための習慣を、優先度順にまとめます。

  1. パスワードは全サービスで固有にする。 使い回しをやめるだけで、リスト型攻撃の被害はほぼ止まります。人力では管理しきれないので、パスワードマネージャーに任せます。
  2. 漏洩監視を常時オンにする。 GoogleパスワードチェックアップやiCloudキーチェーンのセキュリティ勧告を有効化し、警告が出たものから直します。
  3. 重要アカウントに2段階認証を、対応サービスからパスキーを。 メール・金融・決済・SNSなど、乗っ取られると被害が大きいものから優先します。
  4. リンクではなく公式の入り口から開く習慣をつける。 メールやSMSの誘導は基本疑い、ドメイン名で本物を確かめます。
  5. 金銭系はログイン通知・取引通知をオンにする。 異変に早く気づける状態を作っておきます。

情報漏洩のニュースは、これからも定期的に流れてくるはずです。そのたびにゼロから慌てるのではなく、ここで挙げた土台を一度作ってしまえば、「自分は対象か確認する」「順番に手を打つ」だけで落ち着いて対応できます。取り上げたツールはどれも無料で、今日から始められるものばかりです。まずは、いちばん大事なアカウントのパスワードを固有にして、2段階認証を一つ設定する。そこから始めてみてください。

📚 出典