漏えいチェックサービス Have I Been Pwned(HIBP) は2025年11月5日、1,957,476,021件のユニークなメールアドレスと 13億件のパスワード(うち未既知6.25億件) を新たに取り込み、検索対象にしたと発表しました。
Have I Been Pwnedとは
Have I Been Pwned(HIBP)とは、セキュリティ研究者のTroy Huntが運営する「自分のメールアドレス(※一部の事案では電話番号)やドメインが、過去のデータ侵害に含まれていたか」を無料で確認できる通知サービスです。世界中で拡散・再配布された漏えいデータを収集・精査し、被害の有無を検索・通知できる形に整備しています。
できること(個人向け)
-
自分のメールアドレスを検索して、どの事故(サービス名・発生時期・流出項目)に含まれていたかを確認
-
新たな漏えいでヒットした際のメール通知(購読登録)
-
「Pwned Passwords」で“過去にどこかで露出したことがあるパスワード”かを匿名で照会(同じパスワードの再利用防止)
できること(組織向け)
-
自社ドメインを登録して、社員アドレスの新規ヒットを一括通知
-
API を用いた自動照会(製品・社内ツールへの組み込み)
仕組みとプライバシー
-
収集対象は、公開・半公開状態で出回る侵害データや犯罪サイトで流通するデータの“写し”。目的は被害者への通知と再利用リスクの低減です。
-
パスワードはメールアドレスと紐づけて公開しません。Pwned Passwords は「k-anonymity方式」で、問い合わせ側もサービス側も平文のパスワードを知らない設計です。
-
電話番号検索は、該当データセットがある場合に限り提供されることがあります。
概要
今回 HIBP に追加されたのは、1,957,476,021件のユニークなメールアドレスと、13億件のパスワード(うち約6億2500万件が未登録の新出)という前例のない規模のクレデンシャル群です。ここまで大きい束を HIBP が一度に飲み込むのは初めてで、過去の大型コレクションを大きく上回ります。
元データは、犯罪者コミュニティで拡散・再配布されていたクレデンシャル・スタッフィング用のリストを、調査プロジェクト Synthient が索引化したもの
いわゆるスティーラーログ(感染端末から吸い上げる生ログ)ではなく、他サービスの漏えいで得たメール/パスワードを使い回しに転用するための寄せ集めが中心です。
Synthient はこの索引を被害通知のためだけに HIBP に提供しており、目的は「流出した組み合わせを無力化する」ことにあります。
運用面でも従来どおり、パスワードはメールと紐づけずに Pwned Passwords へ単体で取り込み、匿名性を保った照会(k-anonymity)だけを許可しています。
なお、「Gmailの大規模侵害」ではありません。今回のコーパスには3200万超のメールドメインが含まれ、gmail.com は約3.94億件(全体の約2割)にすぎません。特定事業者の侵害ではなく、長年の漏えいと再流通の積み重ねだけです。
本当に使われていたのか
検証はまず身近なところから始まりました。HIBP の運営者は自分の古いアドレスを照合し、昔使っていた覚えのある弱いパスワードを実際に確認しています。同時に、同じアドレスに紐づいて見つかった別のパスワードには心当たりがないものも混じることが分かりました。巨大な寄せ集めゆえに、再配布や混入が起きる現実がここに表れています。
購読者への聞き取りでも、傾向ははっきり出ました。
ある人は6文字の旧パスワードに記号を2つ足しただけの派生版を最近まで重要アカウントに使っていたと認め、通知を受けて慌てて変更。
別の人は10年前に使っていた8文字のパスワードを「捨てアカ向けに長年使い回していた」と証言しています。中には企業アドレスで過去に実際使用していたパスワードが1件だけ一致し、社内のセキュリティチームへ連絡が回ったケースもありました。
一方で、見覚えのない一致も少数ながら確認されています。自動割り当てや古い記憶違い、第三者による再利用など、長期間にわたる再流通の副作用が原因と考えられます。
参照
2 Billion Email Addresses Were Exposed, and We Indexed Them All in Have I Been Pwned








