SECURE · BROWSER-ONLY
パスワード生成.jp
Secure Password Generator
🛡 ブラウザ完結 🔐 Web Crypto API 📡 通信ゼロ

パスワードが漏洩したら——発覚から復旧まで24時間以内の行動チェックリスト

パスワード漏洩発覚後に取るべき行動を優先順位付きで解説。影響範囲の特定・パスワード変更・2FA設定・被害申告まで網羅したチェックリスト。

パスワード漏洩の通知を受け取ったらパニックにならずに

サービスからの漏洩通知、またはHave I Been Pwnedでの自主チェックで漏洩を発見したら、落ち着いて以下のステップを順番に実行しよう。速さが大事だよ。

即時対応:発覚から1時間以内

ステップ1:漏洩した情報の範囲を確認

通知に「何のデータが漏洩したか」が記載されているはずだよ。

  • メールアドレスのみ → 緊急度:低
  • パスワード(ハッシュ) → 緊急度:高
  • パスワード(平文) → 緊急度:最高
  • クレジットカード情報 → 緊急度:最高(カード会社へも連絡)

ステップ2:該当サービスのパスワードを即変更

漏洩したサービスに直接アクセスし(メールのリンクはクリックしない)、パスワードを新しいランダムな文字列に変更する。16文字以上、記号込みを推奨だよ。

ステップ3:同じパスワードを使い回しているサービスをすべて変更

使い回しているサービスがあればクレデンシャルスタッフィング攻撃に悪用される。パスワードマネージャーを使っていれば「使い回し警告」機能で一覧できるよ。

2〜6時間以内の対応

ステップ4:2要素認証を設定

パスワードを変更しただけでは不十分。認証アプリ(Google Authenticator・Authyなど)でTOTPを設定しよう。特にメールアカウントは最優先だよ。

ステップ5:ログイン履歴を確認

サービスの「セキュリティ設定」→「ログイン履歴」を確認して、見覚えのない場所・端末からのアクセスがないか確認。あれば「すべてのデバイスからサインアウト」を実行しよう。

ステップ6:同じメールアドレスを使う重要サービスを確認

特にメールアカウント自体が漏洩した場合、パスワードリセットメールを悪用した二次被害が起きやすいよ。

24時間以内の対応

ステップ7:クレジットカードへの不正利用確認

金融情報が漏洩した可能性がある場合はカード明細を確認。不審な利用があればカード会社に連絡して利用停止手続きをしよう。

ステップ8:関係機関への報告(必要に応じて)

  • 個人情報保護委員会(個人の場合は任意)
  • 警察のサイバー犯罪相談窓口
  • 国民生活センター(0120-797-188)

再発防止策

  1. パスワードマネージャーを導入してサービスごとに異なる強力なパスワードを使う
  2. 重要サービスにはすべて2FAを設定する
  3. Have I Been Pwnedでメールアドレスを監視設定(無料)する

漏洩は自分のせいではないことも多いけど、被害を広げないための行動は自分でできるよ。素早く動けば動くほど被害は小さくなるね。

● よくある質問
Q.「パスワードが漏洩した可能性があります」というメール自体が詐欺では?
確認はメールのリンクからではなく、直接サービスの公式サイトにアクセスしてセキュリティ設定を見るのが安全だよ。Have I Been Pwned(haveibeenpwned.com)でメールアドレスを調べれば独立した確認ができる。
Q.漏洩したパスワードはダークウェブに出回っているの?
大規模漏洩の場合は数時間〜数日以内にダークウェブのマーケットに出回ることが多いよ。早急にパスワードを変更すれば、リストが拡散しても使えない情報になる。速度が重要だね。
Q.パスワード変更後も不正アクセスが続く場合は?
攻撃者がすでにセッションを乗っ取っている可能性があるよ。「すべてのデバイスからログアウト」機能を使って既存セッションを強制切断し、2FAを即設定しよう。それでも続くなら運営サポートに連絡が必要だね。
● 関連ガイド
2要素認証(2FA)の設定方法——SMS・認証アプリ・ハードウェアキーの違いも解説
2段階認証の設定手順をGoogle・Apple・Amazonを例に解説。SMS・TOTP・ハードウェアキーの安全性の違いも比較。
企業のパスワードポリシー策定ガイド——NIST・IPA推奨に基づく現代的な設計
企業向けパスワードポリシーの設計指針をNIST SP 800-63BとIPAガイドラインに基づいて解説。最低文字数・定期変更・ロックアウト設定の具体的な数値を紹介。
パスワードの定期変更は必要か——NISTが「定期変更不要」とした理由を解説
パスワードの定期変更が効果的でない理由をNIST SP 800-63Bの根拠とともに解説。本当に変更すべきタイミングと適切な変更頻度を紹介。
パスワードの文字種(文字クラス)とは——英字・数字・記号の組み合わせ効果を解説
パスワードに使う文字種(英大小文字・数字・記号)がセキュリティに与える影響をエントロピー計算で解説。実用的な文字種の選び方も紹介。
● 推奨パスワードマネージャー / Recommended [PR]

作ったパスワードは頭で覚えるのではなく、マネージャーに任せると安全です。 編集部がふだん使っているサービスをご紹介します。

1Password
★ 4.8

洗練されたUI・Watchtower侵害通知・旅行モード搭載。Apple製品ユーザーに特に人気の老舗マネージャー。

月額 約360円〜
→ 詳しくみる ※PR
Bitwarden
★ 4.7

オープンソースで透明性が高く、無料プランでも基本機能をフルに使える。セルフホストも可能。

無料 / 月額 約130円〜
→ 詳しくみる ※PR
Keeper
★ 4.6

SOC2 Type2認証取得済み。BreachWatch によるダークウェブ監視と法人向け管理コンソールが強力。

月額 約500円〜
→ 詳しくみる ※PR
NordPass
★ 4.5

NordVPN 系列の老舗。XChaCha20 暗号化・データ漏洩スキャナ・パスワードヘルスを内蔵。日本語UI対応。

月額 約290円〜
→ 詳しくみる ※PR
Proton Pass
★ 4.4

スイス拠点・Proton Mail 系列。E2E 暗号化・メールエイリアス・2FA を1つに統合。プライバシー重視派に。

月額 約260円〜
→ 詳しくみる ※PR
● 用語集 / Glossary すべて見る →
TERM
2要素認証(2FA)
パスワード+α で安全に
TERM
エントロピー
パスワードの強さの単位
TERM
暗号学的乱数
予測されない乱数のしくみ
TERM
パスワードマネージャー
保管・管理の道具
TERM
パスキー
パスワードに替わる方式
TERM
フィッシング
偽サイトで盗む手口