過去に流出した20億件のメアド＆13億件のパスワードが検索可能に、自分の情報が流出していないか確認可能

過去に漏えいしたメールアドレスやパスワードを検索できるようにしているウェブサイト「Have I Been Pwned?」に、約20億件のメールアドレスが新規登録されました。加えて約13億件の漏えいしたパスワードも登録されたとのことです。

Troy Hunt: 2 Billion Email Addresses Were Exposed, and We Indexed Them All in Have I Been Pwned
https://www.troyhunt.com/2-billion-email-addresses-were-exposed-and-we-indexed-them-all-in-have-i-been-pwned/

Have I Been Pwned?は、企業から漏えいし、ダークウェブなどで販売・公開されたメールアドレスおよびパスワードをデータベース化しているサイトで、自分の情報が流出しているかどうかを検索して確かめることができます。

2025年11月5日、新たにHave I Been Pwned?へ約20億件のメールアドレスと約13億件のパスワードが登録されたことが分かりました。

以下のリンクから、自分の情報が登録されているかどうかを検索することができます。ユーザーが入力した情報をデータベースで参照しているだけで、入力した情報がどこかに保存されることはありません。また、安全のために登録されているメールアドレスとパスワードは一切紐付いていないとのことです。

Have I Been Pwned: Check if your email address has been exposed in a data breach
https://haveibeenpwned.com/

Have I Been Pwned?創設者のトロイ・ハント氏によると、今回追加されたデータはセキュリティツールの「Synthient」から提供を受けたものだとのこと。

ハント氏が2億件の情報の中に自分のものが含まれていないか検索した結果、90年代から使っている古いメールアドレスに関連付けていたパスワードが登録されていたことが分かったそうです。次にハント氏はHave I Been Pwned?の購読者数名に連絡を取り、データ検証の協力を依頼。すると、「もう使っていない古いパスワードと最近のパスワードが見つかりました。該当のパスワードを使用している重要なアカウントは全て変更しました」「使い捨てアカウントや重要度の低いアカウントで長年使用していたパスワードです」といった返事があったそうです。

漏えいしたパスワードは「1234」などの単純なものばかりではなく、大文字・小文字・数字・特殊文字を含む、一般的に強固とされるものも含まれていました。

一部のメディアは、こうした大量漏えいの原因はGmailの脆弱性にあると報じましたが、ハント氏によると20億件のうちメールアドレスのドメインは3200万種にも及び、Gmailは最多ではあるものの3億9400万件しかなく、特にGmailが悪いとは言えないそうです。

ハント氏は、Have I Been Pwned?の購読者に漏えい通知を送り、該当者にパスワードの見直しを求めています。また、パスワード管理ツールの導入、強固でユニークなパスワードの設定、可能であればパスキーの利用など、できる限りのセキュリティ対策が望ましいとも伝えました。