🚨 パスワード漏洩チェック

あなたのパスワードが、過去のデータ漏洩事件で流出していないか即時チェック。Have I Been Pwned (HIBP)k-匿名性 API を使い、パスワード本体をサーバーに送信せずに 10億件以上の漏洩DBを照会。

🔒 安全な仕組み(k-匿名性):
本ツールはあなたのパスワードを送信しません。代わりに次の流れで照合:
  1. パスワードをブラウザ内で SHA-1 ハッシュ化
  2. ハッシュの最初の5文字だけを HIBP に送信 (例: 5BAA6)
  3. 該当する全候補(数百件)が返ってくる
  4. 残りのハッシュをブラウザ内で照合 → 漏洩有無を判定
HIBP 側は元のパスワードも完全なハッシュも知ることはできません。
📑 このページの内容

このパスワードは漏洩していません

HIBP のデータベース (10億件以上) に該当なし。安全ですが、サービスごとに異なるパスワードを使うことを推奨します。

⚠️

このパスワードは漏洩しています!

過去のデータ漏洩事件で -- 件 流出が確認されました。

--

すぐに該当アカウントのパスワードを変更してください。同じパスワードを別サービスでも使っていないかも要確認。

--
よく使われる順
--
攻撃リスク

🔒 パスワード本体はサーバーに送信されません。送信されるのは SHA-1 ハッシュの最初の5文字のみ。

📐 k-匿名性(k-anonymity)の仕組み

仕組み詳細

あなたが password123 と入力した場合:

  1. ブラウザ内で SHA-1 ハッシュ計算 → cbfdac6008f9cab4083784cbd1874f76618d2a97
  2. 最初の5文字 cbfda だけを api.pwnedpasswords.com/range/CBFDA に送信
  3. HIBP は cbfda で始まる全ハッシュ (数百件) の後半部分と漏洩回数を返す
  4. ブラウザ内で残りの c6008f9cab4083784cbd1874f76618d2a97 と照合
  5. 一致すれば漏洩、不一致なら安全

この方式により、HIBP は誰がどのパスワードを照会したか追跡できません。

HIBP とは

Have I Been Pwned (haveibeenpwned.com) は、セキュリティ研究者 Troy Hunt が運営する漏洩データ集約サイト。LinkedIn・Dropbox・Yahoo・Adobe など、過去の大規模漏洩事件のパスワードを匿名化して保有。13億件以上のユニークパスワード・漏洩回数も含む。本ツールは公開 API を利用。

🚨 漏洩していたら即実行する5つのこと

  1. 該当パスワードを使うすべてのアカウントを即変更(メール・SNS・銀行など)
  2. パスワードマネージャーを導入 (1Password / Bitwarden / Keeper)
  3. サービスごとに異なるパスワードを使う (使い回し厳禁)
  4. 2段階認証 (TOTP) を有効化 (Authenticator アプリ)
  5. 定期的に HIBP でメアドの漏洩状況もチェック

❓ よくある質問

本当にパスワードは送信されない?
はい。ブラウザの開発者ツール → Network タブで通信を確認できます。送信されるのは SHA-1 ハッシュの先頭5文字のみ。HIBP は元パスワードもフルハッシュも知りません。
「漏洩していない」=「安全」?
HIBP にないだけで「絶対安全」ではありません。短い・辞書語の組み合わせは辞書攻撃に弱いです。本ツールと併せて強度チェッカーでも確認を。
1回漏洩したパスワードを少し変えて使ってもいい?
NG。攻撃者は password1password2 のような派生も試します。完全に別物にしてください。
パスワード以外も漏洩確認できる?
メアドは HIBP 本家サイト (haveibeenpwned.com) でチェック可能。本ツールはパスワード照会専用です。
API は無料?
HIBP の Pwned Passwords API は無料で利用可。本ツールは API キーなしで動作。
会社のセキュリティポリシーで HIBP 直接利用が禁止されている
その場合は本ツールも使わない方が無難。社内のパスワードマネージャー / セキュリティ部門に相談してください。

🔗 関連ツール

🔒
パスワード強度
解読時間試算
🔑
パスワード生成
安全な強パスワード作成
🎣
フィッシング判定
怪しいURLの危険度
🔐
ハッシュ生成
SHA-256等の計算