情報漏えいが相次ぐ現代において、自社の情報が外部に流出していないかを確認できるツールの存在は重要です。その中でも有名なのが「Have I Been Pwned」というサイトですが、「このサイトに自社のメールアドレスを入力して本当に大丈夫？」と不安を感じる方もいるでしょう。

そこで今回は、Have I Been Pwned の安全性について解説します。使用するにあたって知っておきたい注意点も紹介しているので、ぜひ参考にしてください。

〈この記事を読んでわかる内容〉

「Have I Been Pwned（HIBP）」は、メールアドレスやパスワードが過去の情報漏えいに巻き込まれていないかを確認できる無料サービスです。オーストラリアのセキュリティ専門家、トロイ・ハント氏が運営しており、世界中の流出データを収集・整理した巨大なデータベースを提供しています。

HIBP では、以下の情報を調べられます。

かつては電話番号も調べられましたが、2025年5月のリニューアルによって調べられなくなりました。国際SMSの送信コストやプライバシー保護といった点からです。

ただし、メールアドレスやパスワードは入力するだけで、過去に流出したかどうかを即座に調べられます。例えばメールアドレスを入力した場合、それが関係した漏えい事件の件数や漏えいしたサービス名、流出したデータの種類（パスワード、氏名、生年月日など）を確認できます。

さらにEmotetと呼ばれるマルウェアの感染によって流出した情報まで確認できるようになっているため、総合的に個人情報の流出を確認するならぜひ活用したいサイトです。

企業にとって、従業員や顧客の情報が漏えいしていないかを早期に把握することは、信頼維持とリスク管理の面で非常に重要です。HIBP を活用すれば、過去の漏えいを洗い出し、該当するアカウントの早期対応につなげられます。

また、従業員に利用させて、セキュリティ意識を高める社内研修の一環としても活用できます。今や99.9%以上の企業からアカウント情報が流出しているかもしれない時代です。気付かないうちに流出している可能性は非常に高いといえます。

そうした状況において、無料で使えるうえに信頼性も高く、コストをかけずにリスク低減が図れる HIBP を使うメリットは、非常に大きいといえるでしょう。

HIBP は、安全性の高いサービスとして評価されています。その理由を詳しく見ていきましょう。

HIBP の機能は、メールアドレスやパスワードが流出していないかを調べるだけです。2007年以降に発生した887個の侵害事案と、流出した約149億個のアカウント情報が登録されているデータベースを使って、照合されます。

そのため、入力されたメールアドレスやパスワードは記録されず、サーバーにも保存されません。ダークウェブにある情報を照会するだけなので、入力内容が外部に流出する心配はほぼないでしょう。

HIBP は、過去に英国家犯罪対策庁（NCA）や米国連邦捜査局（FBI）とも公式に情報を共有したと発表しています。

英国家犯罪対策庁（NCA）とは2021年12月に、NCAが調査中に発見した5億8,500万件以上のパスワードを共有し、FBIとは2021年5月に当局が保有しているパスワードデータを追加しています。

こうした点から見ても、HIBP の安全性は高いといえるでしょう。

HIBP の使い方は簡単です。メールアドレスかパスワードを入力するだけで、該当する漏えいデータがあるか確認できます。どのように使うのか、ケースにわけて詳しく見ていきましょう。

HIBP を使ってメールアドレスが流出していないかを確認する方法は、簡単です。まず、Have I Been Pwned の公式サイトにアクセスします。

次に、検索窓にメールアドレスを入力して、「Check」をクリックしてください。

すると、結果が表示されます。以下のように「Good news - no pwnage found!」が表示されていると、流出した履歴はありません。安全です。

ただし、以下のような画面とともに「Oh no — pwned!」と表示されると、流出しています。

この場合、以下のように情報が流出したサービス名や日時、内容を確認できます。

HIBP の情報を参考にして、対策を取っていきましょう。

HIBP を使ってパスワードが流出していないかを確認する方法も、簡単です。まず Have I Been Pwned の公式サイトにアクセスして、上部のタブから「Passwords」を選択します。

次に、検索窓にパスワードを入力して「Check」をクリックしてください。

すると、結果が表示されます。以下のように「Data Breaches」と表示されると流出した履歴はありません。

ただし、以下のような画面とともに「Oh no — pwned!」と表示されると、流出しています。

この場合、アカウント乗っ取りや他のサービスへの影響も考えられるため、速やかに変更しましょう。

HIBP では、メールアドレスを登録していると、今後そのアドレスが流出した際に通知を受けられます。以下の手順で登録が可能です。

Have I Been Pwned のトップページ上部のタブから、「Notify me」をクリックします。

次にメールアドレスを入力し、「Notify me」をクリックしてください。

すると登録したメールアドレスに確認メールが送られてくるので、承認します。

以下の画面が表示されると、万が一流出した際にも早期発見ができます。

HIBP の通知設定を活用して、万が一の流出に備えましょう。

HIBP は便利なサービスですが、企業で利用する際には以下の注意点があります。それぞれ詳しく見ていきましょう。

HIBP は、日本語には対応していません。すべて英語表記です。ある程度なら直感的にわかるようにはなっていますが、詳しく分析をするのなら英語力は必須になるでしょう。

もし日本語対応をした HIBP を使いたいのであれば、Mozilla Foundation が提供している「Mozilla Monitor」がおすすめです。日本語に完全対応しているため、英語が難しいと感じる方でも安心して使えます。また、HIBP のデータベースを活用しているので、同様の結果を得ることができます。

ただし、より詳細なデータを調べたい場合は、HIBP をチェックする必要があります。

HIBP は、あくまでも流出したアカウント情報がダークウェブ上に登録されていないかどうかを確認するためのツールです。調べるのが目的であるため、流出時の対策や対応は自分で取らなければいけません。

もしアカウント情報が流出していた場合は、パスワードを変更したり、二段階認証を設定したりといった対策をしましょう。特に、「abcde」や「12345」のような簡単なパスワードを利用している場合は、速やかに変更してください。同じパスワードを他のサービスやシステムで使い回している場合、複数のアカウントが危険にさらされる可能性があります。

HIBP は確認するためのツールと認識し、流出している状況によって最適な対応を取っていきましょう。

HIBP は直感的に理解しやすい画面設計になっていますが、それでも英語が苦手な人にとっては少し使いづらいかもしれません。

そこでおすすめなのが、USEN ICT Solutionsが「サイバーセキュリティラボ」の中で提供している「アカウント流出チェッカー」です。メールアドレスを入力するだけで、ドメイン単位（企業レベル）で調査でき、パスワード付きで流出しているアカウントの件数を調査することができます。

また、迷惑メールデータベースへの登録件数もわかるため、標的型攻撃メールの予防にも役立ちます。無料で利用できるので、自社のアカウントが流出していないかどうかを確認したい方は、ぜひご活用ください。

ただし、HIBP はダークウェブに掲載されているかを調べることで流出の有無を判定していますが、アカウント流出チェッカーは独自のOSINT（Open Source Intelligence）により収集されたデータを参照しているので、結果が異なる場合があります。加えて、HIBP が個別のメールアドレス・パスワードをチェックできるサービスである一方、アカウント流出チェッカーはあくまでドメイン全体の流出件数を調べるサービスであるという違いもあります。