Pwned Passwordsで過去のパスワード漏洩をチェックする

過去の個人情報流出や情報漏洩事件で流出したパスワードを無料でチェックできるサービス「Pwned Passwords」をご紹介します。

Pwned Passwords は、個人情報やパスワード漏洩を確認することができるサイト「Have I Been Pwned? (HIBP)」の一部機能として提供されています。

使い方はとても簡単で、調べたいパスワードを入力すると、Have I Been Pwned? に蓄積された漏洩情報データベースと一致したものを表示してくれます。

同一パスワードの使い回しは危険と言われており、サイバー犯罪者が入手した漏洩パスワードを手当たり次第入力して、芋づる式にアカウントを乗っ取られる可能性があります。

Pwned Passwords でパスワード漏洩を確認したら、1passwordのようなパスワードマネージャーを利用したり、使いまわしを避けるなどの自衛策を取るようにしてください。

Pwned Passwordsは日本語に対応していませんが、パスワードを入力するだけなのですぐに使えます。

Pwned Passwords の使い方

では、Pwned Passwords を使ってみましょう。まずは 以下からアクセスします。

Have I Been Pwned: Pwned Passwords

Have I Been Pwned allows you to search across multiple data breaches to see if your email address or phone number has be...

haveibeenpwned.com

トップページの入力欄に調べたいパスワードを入れて「pwned」をクリックしてください。

パスワード漏洩が見つからなかった場合は、緑の背景で「Good news — no pwnage found!」と表示されます。

パスワードが過去に漏洩していた場合は、赤い背景で「Oh no — pwned!」と表示されます。調べたパスワードは「abcdef」で、178,998件見つかっています。

続いて「123456」を調べてみると、何と23,174,662件も見つかりました。この結果を見ると、単純なパスワードを使うのはとても危険だということがわかりますね。

Pwned Passwords の漏洩リストはダウンロードすることができます。元のパスワードを保護するため、リスト化されたパスワードはSHA-1またはNTLMハッシュで暗号化されています。

パスワード使い回しの危険性

Pwned Passwords でパスワード漏洩を確認したら、すぐにパスワードを変更してください。ここで見つかったパスワードは、いつ攻撃対象になってもおかしくはありません。

流出したパスワードがダークウェブなどの違法サイトに流通すると、サイバー犯罪者がそれを入手して、不正アクセスやスパム、フィッシングなどに利用される可能性があります。

異なるサイトごとに違うパスワードを覚えるのは大変なので、同じパスワードを使い回すことはよくありますが、面倒でも全て変更したほうがよいでしょう。

漏洩したパスワードを他のSNSやウェブサービス、通販サイトに手当たり次第入力してハッキングするツールもあり、パスワードを使いまわしている場合は、芋づる式にアカウントを乗っ取られたり、不正にログインされるかもしれません。

Have I Been Pwned では、パスワードマネージャー「1Password」の利用、2段階認証の導入、通知サービスに登録することを推奨しています。

ちなみに、米国セキュリティ企業 SplashData の2019年度ワーストパスワードTOP50を見ると、10位までは次のようになっています。該当するパスワードを使っている場合は、すぐに変更してください。

1. 123456
2. 123456789
3. qwerty
4. password
5. 1234567
6. 12345678
7. 12345
8. iloveyou
9. 111111
10. 123123

100位までのランキングは以下をどうぞ。最悪パスワードランキングにリストアップされているような単純なパスワードは、ほぼ間違いなくパスワードリスト攻撃の対象になると思ってください。

危ないパスワードランキング2024

NordPassの公式サイトで、「世界で最もよく使われるパスワード」の2024年版が公開されています。ランキング上位は「123456789」といった数字の連番や、「password」や「qwerty」といった文字列が多く、簡単にパスワードを推測されそうです。

wind-mill.co.jp

2020.01.03

Have I Been Pwned? で情報漏洩をチェック

Pwned Passwords は、セキュリティ研究者のTroy Hunt (トロイ・ハント) 氏が運営しているサイト「Have I Been Pwned? (HIBP)」の一部機能として提供されています。

こちらには過去の個人情報漏洩事件で流出した766件の流出サイトや130億件ものアカウント情報(2024年4月現在)がデータベースに蓄積されており、パスワードだけでなく、他の個人情報や漏洩件数、漏洩元のサイトなどもチェックできるので、詳細に調べるなら Have I Been Pwned? の使用をオススメします。

パスワード漏洩をチェック「Have I Been Pwned?」の使い方

無料で個人情報やパスワード漏洩を確認することができるセキュリティ情報サイト「Have I Been Pwned? (HIBP)」をご紹介します。英語のサイトですが、メールアドレスを入力するだけなので、誰でも簡単に情報漏洩の有無を調べることができます。

wind-mill.co.jp

2019.05.01

英語はどうしても苦手という方は、日本語で個人情報漏洩をチェックできる Firefox Monitor を使ってください。こちらも Have I Been Pwned?と 同じデータベースを利用しています。

Firefox Monitorの使い方　日本語でパスワード流出を確認

過去の情報漏洩事件で流出したメールアドレスやパスワードを確認できる「Firefox Monitor」を使って、個人情報漏洩やパスワード流出を確認する方法をご紹介します。Firefox Monitorはメールアドレスを入力するだけで、簡単に流出を確認できます。

wind-mill.co.jp

2018.10.21

ただし、利用できる機能や検索できる情報は Have I Been Pwned? よりも制限されています。

Chromeブラウザをお使いの方は、Googleが提供するセキュリティツール「パスワードチェックアップ」もオススメです。