メールアドレスを入力するだけで、個人情報やパスワード漏洩を確認することができる無料サイト「Have I Been Pwned (HIBP)」の使い方をご紹介します。
Have I Been Pwned には、887件の流出サイトや149億件もの漏洩アカウント情報(2025年5月現在)が蓄積されており、メールアドレスを入力すると、データベースに一致した過去の個人情報流出や情報漏洩事件の情報を表示してくれます。
ここで確認できる情報は、流出元や流出した日時、情報の種類(パスワード等)をはじめ、生年月日や電話番号などの個人情報もあります。
Have I Been Pwned は日本語に対応していませんが、メールアドレスを入力するだけで使えるので、簡単にパスワード漏洩をチェックすることができます。
- Have I been pwned (HIBP) とは
- Have I Been Pwned 意味と読み方
- Have I Been Pwned の使い方
- 侵害ページ(Breach Page)で漏えいの詳細を知る
- Pwned Passwordsでパスワード漏えいを調べる
- Notify me で情報漏洩を通知
- Have I Been Pwnedのセンシティブ情報とは
- 新ダッシュボードの追加
- 電話番号検索は廃止
- Have I Been Pwned の安全性
- もしパスワードが漏れていたら
- Have I Been Pwned は日本語に対応せず
- Have I Been Pwnedが2.0にリニューアル
- Have I Been Pwnedの公式グッズ販売開始
- パスワード管理アプリ 1Password
Have I been pwned (HIBP) とは
Have I been pwned (HIBP)は、セキュリティ研究者のTroy Hunt(トロイ・ハント)氏が運営している個人情報流出確認webサービスです。
2013年の開設以来、データベースに登録された流出アカウントは149億8350万件、流出したサイトは887件(2025年5月現在)となっており、その数はどんどん増えています。
漏洩情報のデータベースは随時更新され、漏洩件数のランキングや流出元のサイトも見ることができます。2021年4月に発生したFacebookの個人情報流出も掲載されていますね。
メニューから「Who’s Been Pwned」を見ると、Yahoo! や LinkedIn、Adobe、Dropbox、Facebook など、大手サイトでも過去に情報漏洩を起こしていることがわかります。
ダークウェブへの漏洩もチェックできる
Have I Been Pwnedは、ダークウェブ上に流通している情報もチェックできます。
また、ダークウェブだけでなく、FBIや警察などの国際的な法執行機関から情報提供を受け、マルウェアEmotetの感染によって流出した情報も確認できるようになっています。
恐ろしい話ですが、流出したメールアドレスやパスワードは、アングラ情報が流通しているダークウェブや闇フォーラムで取引され、さらに入手したパスワードを自動的にSNSやウェブサービス、通販サイトに入力してチェックするというツールまであるそうです。
ダークウェブで悪用されないように、Have I Been Pwned でメールアドレスやパスワード漏洩を確認したら、パスワードの変更や使いまわしを避けるなどの自衛策を取ってください。
Have I Been Pwned 意味と読み方
Have I Been Pwned を日本語に訳すと「やられた」「漏れてた」という意味になります。
Have I Been Pwned の「Pwned」は「owned」から転じたネットスラングで、日本語に訳すと「打ち負かす、やられる」といった意味になります。
メールアドレスやパスワードの場合は「漏れてた」ですね。ちなみに「pwned」はスラングのためか、Deeplでは翻訳できませんでした。
Pwnedの意味と読み方
pwned は通常カタカナで「ポゥンド」と読みます。Have I Been Pwned を日本語で読むと「ハブアイビーンポゥンド」になります。
pwned はネットスラングなので「ハックされた、侵入された」という意味でも使われます。
「自分のアカウントがpwnedされた」は、アカウントがハックされたという意味ですね。
Have I Been Pwned の使い方
では、さっそく Have I Been Pwned を使ってみましょう。以下のリンクからアクセスしてください。使い方は自分のメールアドレスを入力するだけなので、とても簡単です。
Have I Been Pwnedへのリンク have i been pwned
トップページの検索ボックスにメールアドレスを入力して「Check」をクリックすると、データ漏えいの有無をチェックできます。
メールアドレスを検索して漏えいがなかった場合は、「Good news — no pwnage found!」と表示され、お祝いの紙吹雪アニメーションが表示されます。
ただし、一部のセンシティブ情報はメール登録ユーザーのみ表示されます。
センシティブ情報については、記事内の項目「センシティブ情報とは」で説明しています。
メールアドレスの漏えいが見つかった場合は「Oh no — pwned!」と表示され、「Data Breaches」で過去の漏えい件数がわかるようになっています。
その下に漏えい元のウェブサービスやファイル、漏えいした背景や日時、漏えいしたアカウント数、漏えいしたデータの種類が時系列で並びます。
侵害ページ(Breach Page)で漏えいの詳細を知る
漏えいの詳細は、侵害ページ(Breach Page)で確認できます。ここには漏えいが発生したサイトやサービスに関する情報、漏えいしたデータの詳細、ユーザーが取るべき行動が記載されています。
漏えいの各項目にある「View Details」をクリックすると、詳細が表示されます。
侵害ページでは、漏えいの詳細や漏えいの時期、件数、漏えいしたデータの種類、ユーザーが取るべき行動が一目でわかるので便利です。
「Recommended Actions」には、以下5種類の取るべき行動が表示されています。
- パスワードの変更
- 2要素認証を有効化
- 他のアカウントを確認
- 不審なアクティビティを監視
- 1Passwordの導入
流出情報コレクション Collection#1
今回入力したメールアドレスは、流出情報コレクションに含まれていました。そのうちの一つが過去最多とされる漏洩データ「Collection #1」で、2019年1月に公開されています。
「Collection #1」は、ウェブサービスやSNSから漏洩したメールアドレスとパスワードの組み合わせ情報で、ファイルには11億6000万件もの情報が記載されていたそうです。
そこから重複する情報や無効なデータを整理し、現在は7億7290万件のメールアドレスと、2122万件のパスワードが Have I Been Pwned で検索可能になっています。
漏洩した情報の背景は、Have I Been Pwned を運営しているTroy Hunt氏のブログに詳しい詳細があり、説明文内にあるリンクから飛べるようになっています。すべて英語ですが、興味のある方は見てください。
Pwned Passwordsでパスワード漏えいを調べる
Have I Been Pwned にはパスワード漏洩を調べることができる「Pwned Passwords」という機能もあります。こちらも使い方は簡単で、パスワードを入力するだけです。
パスワード漏えいが見つからなければ「Good news — no pwnage found!」と表示されます。
漏えいが見つかると「Oh no — pwned!」と表示されます。調べたパスワードは「123456」で、何と130,075,037件も見つかりました。単純すぎるパスワードは危険ですね。
その下に「なぜパスワード漏えいをチェックするのか?」が記載されています。
攻撃者は漏えいしたメールアドレスとパスワードを組み合わせて攻撃してきます。
パスワードは同じものを使い回されることが非常に多いため、漏えいしたパスワードをそのまま利用すると、他のサイトやサービスも攻撃されるリスクが高まります。
ここで漏えいを確認したパスワードは、なるべく変更するようにしてください。
以下の記事でPwned Passwordsの使い方等を紹介しています。よかったらご覧ください。
Notify me で情報漏洩を通知
Have I Been Pwned にはメールアドレスを登録しておくと、情報漏洩が発生した時に通知してくれるサービスがあります。上部メニューの「Notify me」から登録できます。
また、一部のセンシティブ情報は、Notify meで登録済みユーザーのみ検索や表示が可能となっています。
Notify me にメールアドレスを登録
では、メールアドレスを登録してみます。上メニューから「Notify me」に進み、下の「Sign up for notifications」ボックスにメールアドレスを入力して「notify me」をクリックします。
入力したメールアドレスに「Confirm your Have I Been Pwned registration」というタイトルの認証用メールが送られます。
メール内の「Verify Email Address」をクリックしてください。
「Verification complete」と表示されたら認証完了です。
これでセンシティブ情報を表示したり、情報漏洩が見つかった時にメールで通知してくれます。
Have I Been Pwnedのセンシティブ情報とは
センシティブ情報とは、アダルトサイトや公序良俗に反するサイトからの漏洩情報のことです。FAQsの「What is a “sensitive breach”?」にも以下の説明があります。
(センシティブ情報の流出は、メールアドレスの確認済み所有者のみ検索できます)
Have I Been Pwnedは自分以外のメールアドレスでも検索できるので、もし漏洩情報にアダルトサイトや公序良俗に反するサイトが含まれていた場合、そこにアクセスしていたことが他人にバレてしまうかもしれません。
一例として、2015年に不倫SNSの「Ashley Madison(アシュレイ・マディソン)」から約3700万人分もの個人情報が漏えいして、利用者の名前や性的嗜好が明かされるという事件がありました。
このハッキング事件によって、会員の人生が崩壊したり、脅迫を受けることもあったそうです。そのため、センシティブ情報はメール認証済みの本人しか見られないようになっています。
センシティブ情報に登録されているサイトは76件で、「Ashley Madison」や「Adult FriendFinder」、「Carding Mafia」など、アダルトサイトや不正な情報サイトが含まれます。
情報漏洩は常にチェックできるわけではないので、通知があると便利です。また、センシティブ情報の表示にも制限がかかるので、できればメールアドレス登録をオススメします。
新ダッシュボードの追加
Have I Been Pwnedは新たにダッシュボード機能が追加され、過去の検索履歴と設定済みの通知(Notifications)が統合されて使いやすくなりました。
複数のメールアドレスやドメインを管理している場合、漏えい状況の確認やアラートを個別に見る必要がなくなったので、業務効率が大きく向上します。
また、ドメイン検索やメールアドレス漏えいのログ、APIの管理、有料サブスクリプションの管理なども一画面に集約されています。
ダッシュボードにサインインする
ダッシュボードはサイト右上の「Dashboard」から入ります。
「Sign In to Your Dashboard」からメールアドレスを入力して「Sign In」してください。
入力したメールアドレスに「Sign in to your Have I Been Pwned dashboard」というタイトルの認証用メールが送られるので、「Sign In」をクリックします。
電話番号検索は廃止
Have I Been Pwnedユーザー名や電話番号による漏えい情報も検索できましたが、2025年5月のリニューアルで電話番号検索は廃止され、メールアドレスによる検索のみとなりました。
その背景には、サービス提供の費用問題とプライバシー保護という重要な理由があります。
- 国際SMSの送信コスト: Have I Been Pwnedは、過去に電話番号の漏えいがあった場合にSMSで通知するサービスを行っていましたが、国際SMSの送信コストは非常に高額で、大きなコスト負担となっていました。
- プライバシーリスク: 電話番号は個人を特定しやすく、悪意のある第三者が電話番号検索機能を不正利用しようとするリスクも考えられます。例えば、特定の人物の電話番号を入力して、その人が過去にどのようなサービスを利用していたか(どの侵害データに含まれていたか)を調べることができます。
- 誤認やなりすましの可能性: 電話番号は再利用されることもあり、検索結果が必ずしも現在の所有者の情報とは限らないケースもあります。
電話番号はメールアドレス以上にプライベートな情報であり、他人が勝手に番号を検索したり通知すればセンシティブな問題につながるため、電話番号検索は廃止されました。
Have I Been Pwned の安全性
Have I Been Pwned の安全性ですが、Have I Been Pwned を運営しているTroy Hunt氏は、妻のCharlotte氏とともに「Who, What & Why」で自らの素性を明かしています。
氏はMicrosoftのセキュリティディレクターで、セキュリティ研究者としても著名な人物です。
もしHave I Been Pwnedの偽サイトがあれば、アクティブなメールアドレスやパスワードを入手できるので、その気になればいくらでも悪事を働くことができます。
実際にこういったパスワード流出チェックの偽サイトを作成して、メールアドレスやパスワードを不正に収集するという事件も起こっています。
しかし、Have I Been Pwnedは、FBIや警察、英国家犯罪対策庁(NCA)、全英サイバー犯罪対策機関(NCCU)などの国際的な法執行機関から情報提供を受けるほど信頼されています。
また、Firefox を開発する Mozilla は、Have I Been Pwned のデータベースとAPIを利用して「Firefox Monitor」を提供しています。
今までの実績や提携先から見て、Have I Been Pwnedは信頼できるし、安全性は十分だと考えてよいでしょう。もちろん、最終的な判断は自己責任です。
パスワードをハッシュ化して入力
どうしてもHave I Been Pwnedにパスワードを入力したくない場合は、ハッシュ化したパスワードで漏洩を調べることもできます。
まずはパスワードをSHA1でハッシュ化して、生成されたハッシュ値の先頭5文字をHave I Been Pwnedに送信し、返ってきたハッシュ値の一覧から、該当の値が含まれているかを調べます。
含まれていれば、そのパスワードは過去に漏洩しています。この方法なら、パスワードを直接入力せずに漏洩の確認ができます。
もしパスワードが漏れていたら
Have I Been Pwnedを使って、もし個人情報やパスワードが漏れていたら、すぐにメールアドレスやパスワードを変更して、セキュリティを強化するなどの対策が必要です。
パスワードを使いまわしている場合は、面倒でも全て変更したほうがよいでしょう。
Have I Been Pwned では、パスワードマネージャー「1Password」の利用、2段階認証の導入、通知サービスに登録することを推奨しています。
過去の情報漏洩事件を見ると、厳重にセキュリティ対策を施しているはずのGoogleやHotmail、Yahoo!、Twitter、Facebookといった大手SNSや、ウェブサービスでもメールアドレスやパスワードが流出しています。
これらの情報漏洩は、いくら自分で対策していても防ぎようがないし、漏洩した情報は「ダークウェブ」などで販売され、入手したスパマーやネット詐欺師に悪用される可能性があります。
ウェブサービスやSNSを利用するときは、常にパスワード変更等の手順を確認しておきましょう。
あと、「123456」や「password」「qwerty」といった単純なパスワードは使わないようにしましょう。
以下の最悪パスワードランキングにリストアップされているような単純なパスワードは、ほぼ間違いなくパスワードリスト攻撃の対象になると思ってください。
Have I Been Pwned は日本語に対応せず
Have I Been Pwned は日本語に対応していませんが、メールアドレスまたは電話番号を入力するだけで使えるので、簡単にパスワード漏洩をチェックすることができます。
あと、以下で紹介するFirefox Monitor は日本語化されているので、英語が苦手な方はFirefox Monitorの方が使いやすいかもしれません。
Firefox Monitorの使い方 Firefox Monitorの使い方 日本語でパスワード流出を確認
Have I Been Pwned は、Firefox Monitor に漏洩したサイトやパスワードのデータベースを提供しています。
Firefox Monitorは日本語化されているので使いやすいですが、より詳細に情報を調べる場合は、本家本元の「Have I Been Pwned」でチェックすることをオススメします。
パスワード漏洩をチェックできる「Pwned Passwords」や、ドメインごとメールアドレスの検索ができる「Domain search」、外部から漏洩情報を検索できるAPIの利用は Have I Been Pwned にしかない機能で、検索できる情報も Firefox Monitor より多くなっています。
Have I Been Pwnedが2.0にリニューアル
Have I Been Pwnedは、2025年5月にリニューアルされました。左が以前のトップページ、右がリニューアル後のHave I Been Pwned 2.0です。
Have I Been Pwned 2.0では、ユーザーインターフェース(UI)とユーザーエクスペリエンス(UX)が全面的に変更され、さらに使いやすくなりました。
機能面では、Breach Page(侵害ページ)の新設、ドメイン検索機能の強化、ダッシュボードなどが追加され、電話番号検索は廃止されました。
他にもフロントエンド、バックエンドのシステムが見直され、サイトの高速化・レスポンス向上が図られています。Have I Been Pwnedの公式グッズ販売も開始されました。
参考記事 Have I Been Pwnedが2.0にリニューアル 機能の追加や変更点
Have I Been Pwnedの公式グッズ販売開始
Have I Been Pwnedの公式グッズショップ「Pwned Store」では、シャツやパーカー、防止、マグカップなど様々なグッズが販売されています。
ちなみに、公式グッズはコミュニティのための取り組みで、すべて原価で販売しており利益は出ないとのこと。
以下から公式ショップにアクセスできます。興味があればのぞいてみてください。
Have I Been Pwned公式グッズ: Pwned Store
パスワード管理アプリ 1Password
Have I Been Pwned では、パスワードのセキュリティを向上させるための対策として、パスワード管理アプリ「1Password」の利用を勧めています。
各サイトごとに長くて複雑なパスワードを設定すると安全性が向上し、もしパスワードが流出しても、そのサイト以外で被害を受けることはありません。
でも、管理するパスワードが100や200にもなると、全て覚えるのは不可能ですよね。
1Passwordはサイトごとに設定した複雑なパスワードを、マスターパスワード1つで全て管理できます。また、PCやスマートフォン、タブレットもすべて共通で管理できます。
さらに、Have I Been Pwned のデータベースを使ったパスワード侵害の監視機能も提供しているので、もしパスワードが流出してもすぐにわかります。
1Passwordの使い方と設定方法は以下をご覧ください。有料のアプリですがそれだけの価値はあります。あのAppleでも全従業員が1Passwordを利用しているそうです。
あと、Chromeブラウザをお使いの方は、Googleが提供するセキュリティツール「パスワードチェックアップ」もオススメです。
X (Twitter)で漏洩サイト情報をチェック
漏洩サイトの最新情報をいち早くチェックするなら、Have I Been Pwned のX (Twitter)フォローをオススメします。英語なのでポストを翻訳してください。
