Have I Been Pwned はぶ あい びーん ぽーんど
簡単に言うとこんな感じ!
自分のメールアドレスやパスワードが、過去にどこかのサービスから流出していないかを無料で調べられるサービスだよ!「自分のアカウント、大丈夫かな?」って不安なときに、まず調べるべき定番サイトなんだ。
Have I Been Pwnedとは
Have I Been Pwned(略称: HIBP)は、世界中で発生したデータブリーチ(情報漏洩事件)で流出したメールアドレスやパスワードのデータベースを収集・公開している無料の調査サービスです。ユーザーは自分のメールアドレスを入力するだけで、過去に何らかのサービスから自分の情報が漏れていないかを即座に確認できます。
サービス名の “Pwned”(ポーンドと読む)は、オンラインゲームのスラングで「完全にやられた・支配された」を意味します。つまり「私はハックされたことがある?」というストレートな問いかけがサービス名そのものになっています。2013年にオーストラリアのセキュリティ研究者Troy Hunt(トロイ・ハント)が個人プロジェクトとして立ち上げ、現在では150億件以上のアカウント情報を収録する世界最大規模の流出データ検索サービスに成長しました。
企業の情シス担当者やセキュリティ専門家だけでなく、一般のビジネスパーソンにとっても「自社サービスや社員アカウントが危険にさらされていないか」を手軽に確認できる実務的なツールとして広く活用されています。
できることと仕組み
HIPBが提供する主な機能は以下の3つです。
| 機能 | 内容 | 対象 |
|---|---|---|
| メールアドレス検索 | 指定したアドレスが何件・どのサービスの漏洩に含まれるかを表示 | 個人・企業 |
| パスワード検索(Pwned Passwords) | 特定のパスワードが過去に流出したことがあるかを確認 | 個人 |
| ドメイン監視 | 企業ドメイン(例: @example.com)全体を監視し、新規漏洩時にアラートを通知 | 企業・情シス |
パスワード検索の「k-Anonymity」方式
パスワードを検索する際、そのまま文字列を送信するとサーバー側に平文パスワードが漏れてしまいます。HIPBはこの問題をk-Anonymity(k-匿名性)という方式で解決しています。
1. ユーザーのパスワードをSHA-1ハッシュ値に変換
例: "password123" → "CBFDAC6008F9CAB4083784CBD1874F76618D2A97"
2. 先頭5文字だけをAPIに送信
送信: "CBFDA"
3. サーバーは先頭5文字が一致する全ハッシュのリストを返す
(数百〜数千件)
4. ユーザーの端末側でリストの中に自分のハッシュが含まれるか照合これにより、サービス側に実際のパスワードやフルハッシュが渡らない仕組みになっています。
覚え方のポイント
「HIBP = Have I Been Pwned = ハックされた?を英語で直球に聞くサービス」
「Pwned(ポーンド)」はゲーマースラングで「やられた」という意味。チェスの駒「ポーン(Pawn)」が打ち間違えで”Pwn”になり、そのまま定着した言葉です。
歴史と背景
- 2013年12月 — Troy Huntがサービスを公開。Adobe社の大規模漏洩(1億5000万件)がきっかけで開発
- 2014年 — 複数の大型ブリーチ(Snapchat, Struts等)を追加収録。利用者が急増
- 2016年 — LinkedIn・MySpace・Tumblrの巨大漏洩データを追加。収録件数が10億件を突破
- 2017年 — Pwned Passwords機能を追加。流出パスワードのハッシュ検索が可能に
- 2018年 — k-Anonymity方式をAPIに実装。プライバシーを保ったままパスワード確認が可能に
- 2019年 — 「Collection #1」と呼ばれる7億7300万件の巨大リスト流出をいち早く収録・警告
- 2020年 — オーストラリア政府との協力体制を開始。公的機関でも活用される存在に
- 2021年 — FBIおよびNCA(英国国家犯罪庁)がHIPBのデータ提供パートナーに参加
- 2024年現在 — 収録メールアドレス15億件以上、パスワードハッシュ900億件以上を保持
データブリーチとクレデンシャルスタッフィングの関係
HIPBが重要な理由は、流出した情報がクレデンシャルスタッフィング攻撃(他サービスへの不正ログイン試行)に悪用されるからです。
主要サービスとの連携
HIPBのデータは単体サービスにとどまらず、他の製品にも組み込まれています。
| 連携先 | 活用方法 |
|---|---|
| Google Chrome / Firefox | 保存パスワードの漏洩チェック機能に内部利用 |
| 1Password | Watchtowerで流出パスワードを自動警告 |
| Cloudflare | セキュリティ製品のリスク判定に利用 |
| 各種IDaaSサービス | ログイン時の危険パスワード検知に活用 |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 9116 | security.txtの標準仕様。HIBPを含むセキュリティ報告窓口の記述方法を規定 |
関連用語
- ./320-credential-stuffing.md — クレデンシャルスタッフィング:流出ID・パスワードを使った他サービスへの不正ログイン攻撃
- ./321-data-breach.md — データブリーチ:企業や組織から個人情報・認証情報が外部に漏洩する事故
- ./322-password-manager.md — パスワードマネージャー:複数のパスワードを安全に一元管理するツール
- ./323-mfa.md — 多要素認証(MFA):パスワード以外の要素を加えてなりすましを防ぐ認証方式
- ./324-sha1.md — SHA-1:データをハッシュ値に変換する暗号学的ハッシュ関数の一種
- ./326-dark-web.md — ダークウェブ:通常の検索エンジンからアクセスできない匿名ネットワーク上の領域
- ./327-k-anonymity.md — k-匿名性:個人を特定されないようにデータを送受信するプライバシー保護手法
- ./328-phishing.md — フィッシング:偽サイトや偽メールで認証情報を騙し取る攻撃手法