なぜ経営者が確認すべきなのか

あなたの会社の従業員が、会社のメールアドレスで外部のECサイトに登録しているとします。そのECサイトが漏えいしたら、何が起きるでしょうか。

  • 従業員のメールアドレス+パスワードがダークウェブで売られる
  • 従業員が社内システムでも同じパスワードを使っていれば、攻撃者は会社のシステムにログイン可能
  • 実際にインフォスティーラー感染の54%でランサムウェア被害の前段階となっている(KELA 2025)
  • Snowflake事件(2024年)では盗まれた従業員のログインで165組織が侵害されAT&TやTicketmasterも被害

従業員のパスワード漏えいは『個人の問題』ではなく『会社の経営リスク』です。そして経営者がこれを把握していない会社は、攻撃者にとって格好の標的です。

なぜ今この記事を書いているか――Googleの重要変更

2026年2月16日、Googleが無償提供していた『ダークウェブレポート』が廃止されました。多くの経営者がこのツールで従業員の漏えいをチェックしていましたが、もう使えません。

廃止の理由は『情報漏えいを検知できても、効果的な対処法を提示できていない』という指摘が寄せられたため、とGoogleは説明しています。ただしこれは『漏えいチェックが不要になった』のではなく『別のツールに移行が必要』という意味です。

3分でできる確認手順

経営者が自社で今すぐできる確認方法は以下の通りです。

手順1:自分のメールアドレスをチェック

Have I Been Pwned(https://haveibeenpwned.com/)にアクセスし、自分の会社のメールアドレスを入力します。30秒で結果が表示されます。

『Oh no — pwned!』と赤く表示されたら、どのサービスから漏えいしたかの一覧が出ます。そこで使っていたパスワードと同じものを社内システムで使っていないか、即座に確認してください。

手順2:主要な従業員のメールアドレスもチェック

役員、経理、IT管理者など、権限の高いアカウントから優先的に確認します。本人の許可を取った上で、同じ手順を行ってください。

漏えいが見つかった場合は以下を実施します。

  • 漏えいしたサービスのパスワードを変更する
  • 同じパスワードを使っている他のサービスでも変更する
  • 会社のシステムのパスワードを変更する
  • 二段階認証(MFA)を有効にする

手順3:企業ドメイン単位のチェック(有料)

従業員全員のメールアドレスを個別にチェックするのは現実的ではありません。Have I Been Pwnedには『Domain Search』という機能があり、ドメイン(例:@yourcompany.com)を認証した上で、そのドメイン配下のすべての漏えいを一括確認できます。

無料のBasic Planでも月10ドル程度で、企業ドメイン全体の漏えい状況を継続的にモニタリングできます。新たな漏えいがあればメールで通知が届きます。

確認したら何をすべきか

  • パスワードの使い回しを禁止する社内ルールを明文化する
  • パスワードマネージャーを全社で導入する(1Password、Bitwarden等)
  • すべてのクラウドサービスに二段階認証を必須化する
  • 従業員に『会社のメールアドレスで外部サービスに登録するときのルール』を周知する
  • セキュリティ教育を年次で実施する

IPAの2024年度調査では、中小企業の62.6%がセキュリティ対策に投資ゼロです。しかしパスワード管理ツールと二段階認証の導入は、年間数万円程度で実施できます。対策の有無は、会社の生存確率に直結します。

サイト側のセキュリティも同時に確認を

従業員のパスワード漏えいチェックと並行して、会社のWebサイト自体のセキュリティも確認してください。サイトのセキュリティ設定(SSL、ヘッダー、管理画面アクセス)に不備があれば、攻撃者の侵入経路になります。

まず確認すべきこと

自分のメールアドレスをHave I Been Pwnedでチェックする。会社のWebサイトを外部診断ツールでチェックする。この2つを今すぐやってください。それぞれ3分ずつで終わります。

Web検診では、会社のWebサイトのセキュリティヘッダー、SSL/TLS設定、公開情報の露出を含む無料のサイト診断を提供しています。従業員のパスワード漏えいチェックはHave I Been Pwnedと併用してください。

出典

Have I Been Pwned: https://haveibeenpwned.com/

Yahoo!ニュース(Googleダークウェブレポート廃止): https://news.yahoo.co.jp/articles/434bd7031c16b93e87b073d259ab0d38977c6074

IPA『2024年度 中小企業における情報セキュリティ対策に関する実態調査』: https://www.ipa.go.jp/security/reports/sme/sme-survey2024.html

Security Boulevard(インフォスティーラー48時間): https://securityboulevard.com/2026/04/48-hours-the-window-between-infostealer-infection-and-dark-web-sale/