Chromeで [パスワードがデータ侵害で検出…] が表示された

ヘッダ画像

Chromeで [パスワードがデータ侵害で検出…] が表示された

2023/10/09 2023/10/06

Googleパスワードマネージャーでの警告

たった今使用したパスワードがデータ侵害で検出されました。Googleパスワードマネージャーでは、パスワードを今すぐ変更することをおすすめします。

びっくりする警告ですよね。
今使ったパスワードは漏洩データベースで見つかったというメッセージです。
これはデータブリーチともいわれます。

Googleパスワードマネージャーからの警告

パスワードはすぐに変更すべきです。
ということで、取るべき行動の答えは出ているのですが、下記のように少し特殊なケースもありそうなので、付加情報を交えて解説したいと思います。

  • Googleパスワードマネージャーなんて利用していない
  • そのタイミングでパスワードを入力していない

Googleパスワードマネージャー

Googleパスワードマネージャーはウェブサイトやアプリのログインに使われるパスワードの保存と自動入力や保護管理が行えます。
Chromeとはシームレスに統合されているのですが、EdgeやFirefoxでも一部機能の利用できます。
一部機能とはパスワードの保存管理や自動入力です。

ちなみに、Chrome以外の各ブラウザも独自のパスワードマネージャー機能を持っています。
EdgeはMicrosoftアカウントとの連携に特化、Firefoxは独自のパスワードマネージャーを提供しており、Googleアカウントとの連携も可能です。
macOSやiOSでのSafariはAppleのキーチェーン(Keychain)と統合されています。

さて、今回の警告は顧客から相談でしたが、ブラウザとしてChromeを使われていました。
しかし、そのタイミングでパスワード入力していませんし、そもそもGoogleパスワードマネージャーは使っていないという認識のようです。
どういうことでしょうか?

パスワード登録していない

ユーザーとしては、ブラウザ上でパスワードを保存していなければ、とくにGoogleパスワードマネージャーを意識していないかもしれません。
しかし、前述したように、GoogleパスワードマネージャーはChromeと統合されています。
つまり、このブラウザでGoogleアカウントにログインしている時点でGoogleパスワードマネージャーの一部機能を使用しています。
今回は入力されたパスワードが漏洩データベースの情報に符合したということで、きっちりと仕事しているといえます。

Chromeセキュリティ設定の標準保護機能以上で有効

漏洩パスワードの正体

では、入力していないはずのパスワードに対する指摘とはなにか?
今回のケースではWordPressというCMS(ホームページの運用ツール)が原因でした。
といっても、通常考えられそうな管理ページへのログイン時ではありません。
標準メール投稿のためのメールサーバー・ログイン名・パスワードなどの設定項目があります。
実際にこの機能を使われることは少なく、ほとんどがデフォルト値だと思いますが、設定ページで他項目を更新すると、パスワードなどログイン情報も再送信されます。
そのデフォルトパスワードがデータブリーチに100%該当する文字列passwordなのです。
結論として、このケースは架空のログイン情報のため、特に問題なしとなります。

WordPressの設定画面

このように、意図せず、ログイン情報を送信している可能性はあるので、直前のアクセスを見直してみてください。

ログイン情報の安全性をチェック

最後に自分の使用しているログイン情報の安全性についてチェックできる王道のサービスHave I Been Pwned(HIBP)を紹介しておきます。

HIBPはセキュリティ研究者のトロイ・ハント氏によって運営されているウェブサービスでハッキングによる個人情報の流出情報を提供しています。
データブリーチにより、漏洩したパスワードが第三者の手によってデータベース化され、入手可能になっていた、非常に危険な状態であれば、検出できる可能性が高いです。
https://haveibeenpwned.com/Passwords

また、HIBPではパスワードだけでなく、メールアドレスのデータ漏洩も確認できます。
https://haveibeenpwned.com上記のOh no ? pwned!という結果は該当のメールにデータ侵害歴があることを示します。
漏洩した電子メールアドレスは攻撃者がスパムメールの送信、フィッシング攻撃、アカウント不正アクセスなど、不正な活動に悪用される可能性があります。
使用せざるを得ない場合、十分警戒ください。

HIBPの安全性は

ウェブサイト上でパスワードの確認なんてしてよいの?という肌感覚のあなたは素晴らしいです。
ただ、HIBPについては米国連邦捜査局(FBI)や英国家犯罪対策庁(NCA)とも情報提供に協力しており、安全性は高いと考えてよいでしょう。
下記のカスペルスキーパスワードチェックのようなサービスもHIBPのデータベースを使用しているようです。
https://password.kaspersky.com/jp/

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です


The reCAPTCHA verification period has expired. Please reload the page.



関連記事

Yahooの508円(旧498円)引き落としを解約する!  | クレジットカードの明細を見ると「ヤフージャパン 508円」請求が・・・気になって過去の明細を見るとずっと引き落としされて...

WAVLINK Wi-Fiルーターの設定方法  | WAVLINK WL-WN521R2P 300Mbps Smart Wi-Fi router(画像引用:Amazon)A...