149億件超の漏えいデータに対応　「Have I Been Pwned」が大幅刷新：被害者が取るべき具体的な行動の指針も提案

　Have I Been PwnedはメールアドレスがWeb上の情報漏えいの影響を受けているかどうかを無料でチェックできるWebサービスだ。2025年5月27日時点で、HIBP 2.0のデータベースには過去の886件の情報漏えい事例が集約されており、ハント氏によると、これらの侵害で149億6957万8623件のアカウント情報が漏えいしているという。

　メールアドレスが情報漏えいの影響を受けているかどうかを確認するのは簡単だ。HIBP 2.0のトップページの検索ボックスにメールアドレスを入力し、「Check」ボタンを押せばいい。HIBP 2.0は入力されたメールアドレスを侵害事例のデータベースと照合して影響の有無を確認し、結果を表示する。

HIBP 2.0のトップページ（提供：トロイ・ハント氏）

デザインの一新

　今回のバージョンアップではデザインが一新され、チェック結果の表示ページに遊び心のある演出が加えられた。メールアドレスが漏えいしていない場合は、緑色の文字で「0 Data Breaches」と表示され、色とりどりの紙吹雪が舞うアニメーションも表示される。

メールアドレスが漏えいしていない場合（提供：トロイ・ハント氏）

　メールアドレスが漏えいしている場合は、赤字で漏えい件数が表示され、いつ発生したどの情報漏えい事例で漏えいしたかの概要が、時系列で示される。従来はこのチェック結果ページに侵害事例の詳細も表示されていたが、HIBP 2.0では、各侵害事例の「View Detail」ボタンを押すと表示される独立したページで、事例の詳細が確認できるようになった。

メールアドレスが漏えいしている場合（提供：トロイ・ハント氏）

被害者が取るべき具体的な行動の指針を提案

　侵害事例の詳細ページでは、影響を受けたアカウント数、侵害発生日、HIBPへの登録日、侵害の分類、データ漏えいの経緯説明に加え、「Recommended Actions」として、被害者が取るべき具体的な行動の指針も示されている。

侵害事例の詳細ページ（提供：トロイ・ハント氏）

被害者が取るべき行動の指針（提供：トロイ・ハント氏）

　ハント氏は今後、この詳細ページの内容をさらに充実させる計画だ。侵害が発生したサービスで2要素認証やパスキーが採用されている場合は、それを明記する他、英国の機関との協力によって、地域固有のガイダンスを提供することも検討しているという。

ユーザー名検索と電話番号検索のサポート廃止

　ユーザー名検索と電話番号検索のサポートが廃止される。廃止の理由は2つ。1つは、これらのデータ形式がメールアドレスと比べて解析が難しいこと。もう1つは、ユーザー名は所有者が明確でないために通知が難しく、電話番号へのSMS（Short Message Service）通知はコストが高いことだ。既存システムとの互換性のためにAPI経由でのサポートは継続されるが、新たにデータが追加されることはない。

統合ダッシュボードの導入

　利便性向上のため、これまで分散していたさまざまな機能（機密性の高い情報漏えいの確認、API認証、ドメイン検索ダッシュボード、支払い管理など）が、1つの「ダッシュボード」に集約された。ユーザーはこれにサインインして、関連機能に1カ所からアクセスできるようになり、利便性が大幅に向上した。

　将来的には、メール認証を不要にするパスキー認証の導入も予定されている。また、このダッシュボードは、例えば「家族のメールアドレスへの侵害通知を別のアドレスで受け取る」など、ユーザーから要望の多かった新機能開発の基盤としても活用される見込みだ。

ダッシュボード（提供：トロイ・ハント氏）

ドメイン検索機能の大幅改善

　企業向けのドメイン検索機能も大幅に改善された。認証済みドメインのリスト表示が整理され、検索結果の要約も見やすくなった。新たにメールアドレスによるフィルタリング機能や、最新の侵害事例のみを表示するオプションも追加された。

　全ての検索処理が「JSON API」を通じて実行され、ドメイン検索ダッシュボード全体がシングルページアプリケーション（SPA）として動作するため、応答速度が大幅に向上した。25万件以上の漏えいメールアドレスを含むドメインでもテストが実施され、実用的な性能が確認されている。ドメイン所有権の確認プロセスも全面的に再構築され、よりクリーンで簡潔なインタフェースになった。ファイルアップロードやDNS（Domain Name System）レコードを用いた認証方法についても、さらなる改善が予定されている。