Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 884

漏えいパスワード (Pwned Password)

漏えいパスワード (Pwned Password) とは何ですか?

漏えいパスワード (Pwned Password)既知の情報漏えいに含まれていたパスワード。Troy Hunt 氏の Have I Been Pwned により公開されており、ユーザーの秘密として使用してはならない。

漏えいパスワードとは、公開済みの漏えいコーパスに既に存在するパスワードで、攻撃者がクレデンシャルスタッフィングやパスワードスプレーで利用する辞書の一部です。代表的な情報源は Troy Hunt 氏が運営する Have I Been Pwned (HIBP) の Pwned Passwords データセットで、現在 10 億以上の一意な SHA-1 ハッシュを公開しています。k-匿名 API では、クライアントはハッシュの先頭 5 文字の 16 進数のみを送信し、合致する接尾辞リストを受け取るため、候補パスワード自体は端末から出ません。NIST SP 800-63B 5.1.1.2 節は、新規や変更時にこうしたコーパスとの照合を明示的に要求します。Cloudflare、1Password、Okta などのベンダーが HIBP API を組み込んでいます。

  1. 01

    ユーザーが 'P@ssw0rd123' を設定すると、HIBP に 300 万回以上現れるため登録フォームが拒否する。

  2. 02

    Active Directory の全アカウントの NTLM ハッシュをオフラインの Pwned Passwords コーパスと定期的に照合するモジュール。

よくある質問

漏えいパスワード (Pwned Password) とは何ですか?

既知の情報漏えいに含まれていたパスワード。Troy Hunt 氏の Have I Been Pwned により公開されており、ユーザーの秘密として使用してはならない。 サイバーセキュリティの ID とアクセス カテゴリに属します。

漏えいパスワード (Pwned Password) とはどういう意味ですか?

既知の情報漏えいに含まれていたパスワード。Troy Hunt 氏の Have I Been Pwned により公開されており、ユーザーの秘密として使用してはならない。

漏えいパスワード (Pwned Password) はどのように機能しますか?

漏えいパスワードとは、公開済みの漏えいコーパスに既に存在するパスワードで、攻撃者がクレデンシャルスタッフィングやパスワードスプレーで利用する辞書の一部です。代表的な情報源は Troy Hunt 氏が運営する Have I Been Pwned (HIBP) の Pwned Passwords データセットで、現在 10 億以上の一意な SHA-1 ハッシュを公開しています。k-匿名 API では、クライアントはハッシュの先頭 5 文字の 16 進数のみを送信し、合致する接尾辞リストを受け取るため、候補パスワード自体は端末から出ません。NIST SP 800-63B 5.1.1.2 節は、新規や変更時にこうしたコーパスとの照合を明示的に要求します。Cloudflare、1Password、Okta などのベンダーが HIBP API を組み込んでいます。

漏えいパスワード (Pwned Password) からどのように防御しますか?

漏えいパスワード (Pwned Password) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

漏えいパスワード (Pwned Password) の別名は何ですか?

一般的な別名: 流出パスワード, 侵害パスワード, HIBP パスワード。

関連用語

関連項目