パスワード監査ツールの使い方 - 漏洩チェックから強度診断まで

この記事は約 15 分で読めます

自分のパスワードが過去のデータ漏洩に含まれていないか、現在使っているパスワードの強度は十分か。これらの疑問に答えてくれるのがパスワード監査ツールです。漏洩データベースとの照合、パスワード強度の自動診断、重複パスワードの検出など、複数の観点からアカウントの安全性を評価できます。本記事では、Have I Been Pwned をはじめとする無料の漏洩チェックサービス、ブラウザに内蔵された監査機能、パスワードマネージャーが提供する監査レポートの活用方法を具体的に解説し、定期的なセキュリティチェックの習慣化を支援します。

Have I Been Pwned で漏洩をチェックする

サービスの仕組みと安全性

Have I Been Pwned (HIBP) は、セキュリティ研究者 Troy Hunt が運営する無料の漏洩チェックサービスです。メールアドレスを入力するだけで、そのアドレスが過去のデータ漏洩事件に含まれているかを即座に確認できます。2024 年時点で 140 億件以上の漏洩アカウント情報がデータベースに登録されており、世界最大規模の漏洩情報データベースとして広く信頼されています。

HIBP のパスワードチェック機能は k-Anonymity モデルを採用しています。パスワードの SHA-1 ハッシュの先頭 5 文字のみをサーバーに送信し、サーバーはその前方一致するハッシュ群を返します。クライアント側で完全一致を確認するため、パスワード自体がネットワーク上を流れることはありません。この設計により、チェック行為自体が新たなリスクを生まない安全な仕組みになっています。

具体的な使い方

まず haveibeenpwned.com にアクセスし、メインの検索ボックスにメールアドレスを入力します。結果が緑色なら漏洩は確認されていません。赤色の場合、どのサービスからいつ漏洩したかの詳細が表示されます。漏洩が確認されたサービスでは、直ちにパスワードを変更してください。さらに「Passwords」タブでは、使用中のパスワードが過去の漏洩データに含まれているかを直接確認できます。漏洩回数が表示された場合、そのパスワードは攻撃者の辞書に登録されているため、即座に変更が必要です。

ブラウザ内蔵のパスワード監査機能

Chrome のパスワードチェックアップ

Google Chrome には「パスワードチェックアップ」機能が標準搭載されています。chrome://settings/passwords にアクセスし、「パスワードを確認」をクリックすると、保存済みパスワードの一括診断が実行されます。診断結果は 3 つのカテゴリに分類されます。「漏洩した可能性のあるパスワード」は過去のデータ漏洩に含まれていたもの、「脆弱なパスワード」は推測されやすい短いパスワード、「再利用されているパスワード」は複数サイトで同じパスワードを使い回しているものです。

Chrome のパスワードチェックアップは Google アカウントと同期している場合に最も効果を発揮します。同期が有効であれば、モバイル端末で保存したパスワードも含めて一括チェックが可能です。ただし、Chrome のパスワード保存機能自体はマスターパスワードによる保護がないため、端末のロック画面が突破されると全パスワードが閲覧可能になるリスクがあります。重要なアカウントについては、専用のパスワードマネージャーの利用を検討してください。

Safari と Firefox の監査機能

Apple の Safari では「設定」→「パスワード」から「セキュリティに関する勧告」を確認できます。漏洩したパスワード、再利用されたパスワード、脆弱なパスワードが一覧表示され、各項目から直接パスワード変更ページへ遷移できます。iCloud キーチェーンと連携しているため、iPhone・iPad・Mac 間で同期されたすべてのパスワードが対象になります。Firefox も同様に「about:logins」ページで保存済みパスワードの漏洩チェックを提供しており、Firefox Monitor との連携で漏洩通知を受け取ることも可能です。

パスワードマネージャーの監査レポート

主要サービスの監査機能比較

1Password の「Watchtower」、Bitwarden の「Vault Health Reports」、Dashlane の「Password Health」など、主要なパスワードマネージャーはいずれも監査レポート機能を備えています。これらは保存されたすべてのパスワードを対象に、漏洩チェック・強度評価・重複検出・二要素認証の未設定検出を自動的に実行します。ブラウザの監査機能との違いは、パスワードマネージャーがすべてのデバイス・ブラウザを横断して一元管理している点です。Chrome に保存したパスワードと Safari に保存したパスワードが別々に管理されている場合、全体像を把握するにはパスワードマネージャーの監査が最も効率的です。

監査レポートの結果は「セキュリティスコア」として数値化されることが多く、100 点満点中何点かで現在の状態を把握できます。スコアが低い場合、まず漏洩が確認されたパスワードの変更を最優先し、次に重複パスワードの解消、最後に脆弱なパスワードの強化という順序で対処します。パスつく.com のようなパスワード生成ツールを活用すれば、各サービスに固有の強力なパスワードを効率的に作成できます。

監査レポートの読み方と対処法

監査レポートで「漏洩済み」と表示されたパスワードは、攻撃者がクレデンシャルスタッフィング攻撃に使用するリストに含まれていることを意味します。このパスワードを使い続けると、他のサービスでも不正ログインされるリスクが極めて高くなります。「脆弱」と判定されたパスワードは、8 文字未満、数字のみ、辞書に載っている単語など、総当たり攻撃や辞書攻撃で短時間に突破される可能性があるものです。いずれの場合も、16 文字以上のランダムな文字列に変更し、二要素認証を併用することで安全性を大幅に向上できます。

定期的なセキュリティチェックの習慣化

チェック頻度とスケジュール

パスワード監査は一度実施して終わりではなく、定期的に繰り返すことで効果を発揮します。推奨頻度は月 1 回の簡易チェック (パスワードマネージャーのスコア確認) と、3 か月に 1 回の詳細チェック (HIBP での全メールアドレス確認 + ブラウザ監査の実行) です。大規模なデータ漏洩がニュースになった際は、臨時で HIBP チェックを実施してください。カレンダーにリマインダーを設定しておくと、チェックの習慣化が容易になります。

チェックで問題が見つかった場合の対処は迅速に行いましょう。漏洩が確認されたアカウントは 24 時間以内にパスワードを変更し、可能であれば多要素認証を有効化します。パスワードの変更時には、パスつく.com で十分な長さのランダムパスワードを生成し、パスワードマネージャーに保存する流れを徹底してください。手動で覚えられるパスワードに変更しても、次の漏洩チェックで再び「脆弱」と判定される可能性が高いためです。

通知サービスの活用

HIBP ではメールアドレスを登録しておくと、新たな漏洩が確認された際に自動通知を受け取れます。Google アカウントでも「セキュリティ通知」を有効にしておけば、不審なログイン試行や漏洩検出時にアラートが届きます。1Password の Watchtower は新しい漏洩情報がデータベースに追加されるたびにダッシュボードを更新するため、定期的にアプリを開くだけで最新の状態を確認できます。これらの通知サービスを組み合わせることで、能動的なチェックと受動的な監視の両方をカバーし、漏洩への対応速度を最大化できます。

パスワードセキュリティをさらに強化するには、セキュリティキーの関連書籍 (Amazon)でハードウェア認証について学ぶことも有効です。