Chromeで [パスワードがデータ侵害で検出…] が表示された
2023/10/09 2023/10/06

Googleパスワードマネージャーでの警告
びっくりする警告ですよね。
今使ったパスワードは漏洩データベースで見つかったというメッセージです。
これはデータブリーチともいわれます。

Googleパスワードマネージャーからの警告
パスワードはすぐに変更すべきです。
ということで、取るべき行動の答えは出ているのですが、下記のように少し特殊なケースもありそうなので、付加情報を交えて解説したいと思います。
- Googleパスワードマネージャーなんて利用していない
- そのタイミングでパスワードを入力していない
Googleパスワードマネージャー
Googleパスワードマネージャーはウェブサイトやアプリのログインに使われるパスワードの保存と自動入力や保護管理が行えます。
Chromeとはシームレスに統合されているのですが、EdgeやFirefoxでも一部機能の利用できます。
一部機能とはパスワードの保存管理や自動入力です。
ちなみに、Chrome以外の各ブラウザも独自のパスワードマネージャー機能を持っています。
EdgeはMicrosoftアカウントとの連携に特化、Firefoxは独自のパスワードマネージャーを提供しており、Googleアカウントとの連携も可能です。
macOSやiOSでのSafariはAppleのキーチェーン(Keychain)と統合されています。
さて、今回の警告は顧客から相談でしたが、ブラウザとしてChromeを使われていました。
しかし、そのタイミングでパスワード入力していませんし、そもそもGoogleパスワードマネージャーは使っていないという認識のようです。
どういうことでしょうか?
パスワード登録していない
ユーザーとしては、ブラウザ上でパスワードを保存していなければ、とくにGoogleパスワードマネージャーを意識していないかもしれません。
しかし、前述したように、GoogleパスワードマネージャーはChromeと統合されています。
つまり、このブラウザでGoogleアカウントにログインしている時点でGoogleパスワードマネージャーの一部機能を使用しています。
今回は入力されたパスワードが漏洩データベースの情報に符合したということで、きっちりと仕事しているといえます。

Chromeセキュリティ設定の標準保護機能以上で有効
漏洩パスワードの正体
では、入力していないはずのパスワードに対する指摘とはなにか?
今回のケースではWordPressというCMS(ホームページの運用ツール)が原因でした。
といっても、通常考えられそうな管理ページへのログイン時ではありません。
標準メール投稿のためのメールサーバー・ログイン名・パスワードなどの設定項目があります。
実際にこの機能を使われることは少なく、ほとんどがデフォルト値だと思いますが、設定ページで他項目を更新すると、パスワードなどログイン情報も再送信されます。
そのデフォルトパスワードがデータブリーチに100%該当する文字列passwordなのです。
結論として、このケースは架空のログイン情報のため、特に問題なしとなります。

WordPressの設定画面
このように、意図せず、ログイン情報を送信している可能性はあるので、直前のアクセスを見直してみてください。
ログイン情報の安全性をチェック
最後に自分の使用しているログイン情報の安全性についてチェックできる王道のサービスHave I Been Pwned(HIBP)を紹介しておきます。
HIBPはセキュリティ研究者のトロイ・ハント氏によって運営されているウェブサービスでハッキングによる個人情報の流出情報を提供しています。
データブリーチにより、漏洩したパスワードが第三者の手によってデータベース化され、入手可能になっていた、非常に危険な状態であれば、検出できる可能性が高いです。
https://haveibeenpwned.com/Passwords
また、HIBPではパスワードだけでなく、メールアドレスのデータ漏洩も確認できます。
https://haveibeenpwned.com上記のOh no ? pwned!という結果は該当のメールにデータ侵害歴があることを示します。
漏洩した電子メールアドレスは攻撃者がスパムメールの送信、フィッシング攻撃、アカウント不正アクセスなど、不正な活動に悪用される可能性があります。
使用せざるを得ない場合、十分警戒ください。
HIBPの安全性は
ウェブサイト上でパスワードの確認なんてしてよいの?という肌感覚のあなたは素晴らしいです。
ただ、HIBPについては米国連邦捜査局(FBI)や英国家犯罪対策庁(NCA)とも情報提供に協力しており、安全性は高いと考えてよいでしょう。
下記のカスペルスキーパスワードチェックのようなサービスもHIBPのデータベースを使用しているようです。
https://password.kaspersky.com/jp/