Google Chromeから「パスワードが漏洩しました」と出ても落ち着いて対処しましょう。
Google Chromeから「パスワードが漏洩しました」出たら、クレジットカードなど大事な情報を登録しているWebサイトのパスワードを強固なものに変更します。二段階認証機能がWebサイトで提供されている場合は、二段階認証の設定もしたほうが安全です。
あなたのパソコンから個人情報が流出したということではありませんし、警告ポップアップがでた時、利用しようとしていたサイトから漏洩したということでもありません。
あなたがユーザー名やパスワードのアカウント情報を登録したWebサイトで情報の漏洩がおきました。悪者からの被害に合わないようにパスワードを変更してくださいという警告通知です。
Google Chromeから「パスワードが漏洩しました」の警告は、バージョン79のアップデートで、追加された「Password Checkup」というパスワード保護の機能によるものです。
プログラマー歴20年のプロが、Chromeから「パスワードが漏洩しました」というメッセージについて解説します。
Chromeから「パスワードが漏洩しました」と出た時どうすれば正解?
クレジットカードなど実際に被害がでそうなサイトから優先的に、次の対処をしたほうがいいです。
- 複雑なパスワードに変えること
- Webサイトに二段階認証がある場合は、二段階認証を利用すること
アカウントやパスワードを登録するWebサイトでは、あなたのアカウントやパスワードをデーターベースに照合用として記録しています。一定の品質があるWebサイトでは、パスワードは暗号化されて保存されています。
今回、Webサイト側でその情報が漏洩しました。仮にその情報が、悪意のある第三者に渡ったとします。悪意のある第三者は、ハッキングツールを使って、パスワードを総当りチェックし、あなたのアカウントに侵入したりする可能性があります。
情報セキュリティコンサルタントのマーク・ブルネットさんが運営しているパスワードの強度を表示するサイト How Secure Is My Password? で、パスワードを解読する時間を調べてみてください。
英数字の8文字ぐらいの簡単なパスワードだと解読するのにたった数秒です。パスワードの長さと記号や大文字をいれることで解読まで何十万年と強度が変わったと思います。
強度が強いパスワードに変更したほうが安全です。
二段階認証は、仮にパスワードが解読されてたとしても、もう1段階認証でクラッカーからの攻撃を防止する可能性を高め、セキュリティを強化して、アカウントを保護できるからです。
クレジットカードなど登録しているWebサイトでは、二段階認証を登録していたほうが安全でよいです。
Chromeから「パスワードが漏洩しました」とはどういうこと?
ユーザー名やパスワードを登録したWebサイトからアカウント情報が漏洩したことが明らかになりましたという通知です。
「Google Chrome」バージョン79のアップデートで、「Password Checkup」というパスワード保護の機能が追加されました。
「Password Checkup」は、IDとパスワードの組み合わせが第三者によるデータ漏洩によってパスワード侵害の影響を受けていないかGoogleが自動的に40億を超える流出元リストから調べてくれるセキュリティ機能です。
「パスワードを変更してください。
サイトまたはアプリでのデータ侵害により、パスワード情報が漏洩しました。
XXX(URL)のパスワードをすぐに変更することをおすすめします。」
ユーザー名やパスワードなどのアカウントを登録しているサイトで、アカウント情報が漏洩してしまっているため、現在のパスワードを使い続けない方がよいですよ、パスワードを変更するべきですよとGoogle Chromeが警告を通知してくれています。
警告を通知している仕組み
01. Googleは、漏洩したユーザー名とパスワードを入手しています。Googleにしかわからない鍵で暗号化した「ユーザー名とパスワードを暗号化したデータ」と「ユーザー名とパスワードから生成されるハッシュ」をGoogleのデータベース上に保存します。
02. Chromeを利用して、Webサイトにログインした時、Password Checkupは、ユーザー名とパスワードを暗号化しハッシュ化した上で、Googleに送信します。どのアカウントから送られたデータなのかを隠して送られます。
03. Password Checkupは、「Private set intersection with blinding」という手法を使って、送信元アカウント情報を伏せたまま、漏洩したデータとChromeから送られてきた暗号化データを比較します。
04. あなたのユーザー名とパスワードが漏洩したデータに含まれているかどうかの最終チェックをあなたのパソコンで行います。ユーザー名とパスワードが流出していると明らかになった場合は、即座にパスワードを変更するべきです。
参考: Better password protections in Chrome – How it works
Googleは漏洩したユーザー名とパスワードのデータを保持しています。詳細なアカウント情報は伏せたまま、あなたのパソコンにあるユーザー名とパスワードと漏洩データから参照して警告をしてくれる機能です。
Aサイト、Bサイトで同じユーザ名とパスワードを使いまわしている状況で、Aサイトで漏洩がおきた場合、Bサイトにログインした時にも警告を通知してくれます。
パソコン版のChromeをから利用しているWebサイトの場合はこれで判明できるのですが、スマートフォンのブラウザーだけで利用しているWebサイトやアプリで、漏洩があったのかどうかチェックするにはどうしたらいいでしょうか。
スマートフォンだけで利用しているWebサイトやアプリで漏洩したかどうかチェックするにはどうしたらいいのか
流出したパスワードをチェックできるWebサイトHave I Been Pwned (HIBP) でチェックします。
Have I Been Pwned (HIBP) でemailを入力して送信すると、漏洩されたアカウント情報のデーターベースと照合してくれます。漏洩したアカウント情報は64億件あり、データの収集方法や登録されているデータ漏洩元の一覧を公開しています。
もし該当するWebサイトやアプリがあった場合は、強力なパスワードに変更しましょう。
パスワード管理は本当に面倒くさい
パスワード管理がめんどくさい場合は、お金を出してでもパスワード管理ソフトを使うことおすすめします。
1password はおすすめです。十年ぐらい愛用していますが、パスワード管理の煩わしさやパスワードを忘れた時に何度か救われたことがあります。
ソースネクストで購入した場合は少し安くなります。ソースネクスト何十件何百件もパスワードを変更するには面倒くさいし、パスワードを忘れないように管理もしなければいけない。そんな時はパスワード管理ツールを使いましょう。
まとめ
「パスワードが漏洩しました」はChormeのセキュリティ機能による警告文でした。大事な情報があるサイトから早めにパスワードを強力なものに変更しましょう。
パスワード管理がめんどくさい場合は、1Password などのパスワード管理ツールを使うと、幸せになれます。
以上です。最後までお読みいただき、ありがとうございました。
Photo by Technology vector created by stories – www.freepik.com