たった今使用したパスワードがデータ侵害で検出されました。Google パスワードマネージャーでは、パスワードを今すぐ変更することをおすすめします。
びっくりする警告ですよね。
今使ったパスワードは漏洩データベースで見つかったというメッセージです。
データブリーチとも言います。
パスワードはすぐに変更すべき
ということで、取るべき行動の答えは出ているのですが、下記のように少し特殊なケースもありそうなので、付加情報を交えて解説したいと思います。
- Google パスワードマネージャーは未使用
- そのタイミングでパスワードを入力していない
Google パスワードマネージャーとは?
Google パスワードマネージャーはウェブサイトやアプリのログイン情報を保存し、自動入力するためのツールです。Chrome ブラウザとはシームレスに統合されており、Edge や Firefox などの他のブラウザでも一部機能が利用可能です。
Google パスワードマネージャーは保存されたパスワードがデータ漏洩で流出していないかを監視し、危険なパスワードが検出された場合に警告を表示します。この警告が表示された場合は、直ちにパスワードを変更することが推奨されます。
ちなみに、Chrome 以外の各ブラウザも独自のパスワードマネージャー機能を持っています。
Edge は Microsoft アカウントとの連携に特化、Firefox は独自のパスワードマネージャーを提供しており、Google アカウントとの連携も可能です。
macOS や iOS での Safari は Apple のキーチェーンと統合されています。
さて、今回の警告は顧客から相談でしたが、ブラウザとして Chrome を使用してはいました。
しかし、その時点でパスワードを入力した覚えがなく、さらに Google パスワードマネージャーを利用していないという認識でした。
どういうことでしょう?
パスワードを登録していないのに警告が出る理由
Google パスワードマネージャーは、Chrome にログインしているだけで一部機能が自動的に有効になります。つまり、パスワードを保存していなくても、Google パスワードマネージャーが安全性を監視している可能性があるのです。
漏洩パスワードの正体
今回のケースでは、WordPress のメールサーバー設定にデフォルトで設定されていたパスワードが原因でした。
このデフォルトパスワードは広く知られている「password」というものであり、これが漏洩データベースに一致したために警告が表示されたのです。
また、意図せず、ログイン情報を送信している可能性はあるので、直前のアクセスを見直してみてください。
パスワードの安全性を確認する方法
パスワードの安全性を確認するために、以下のようなツールを利用することが推奨されます。
Have I Been Pwned(HIBP)
HIBP はセキュリティ研究者トロイ・ハント氏によって運営されているウェブサービスで、ハッキングによって漏洩した個人情報がデータベースに登録されていないかを確認することができます。
https://haveibeenpwned.com/Passwords
パスワードのチェック
入力したパスワードが過去に漏洩していないかを確認できます。パスワードが漏洩している場合は直ちに変更することが推奨されます。
メールアドレスのチェック
また、メールアドレスのデータ漏洩も確認可能です。漏洩が確認された場合はそのメールアドレスに関連するアカウントのセキュリティを強化することが必要です。
https://haveibeenpwned.com
上記の Oh no — pwned! という結果は該当のメールにデータ侵害歴があることを示します。
漏洩した電子メールアドレスは攻撃者がスパムメールの送信、フィッシング攻撃、アカウント不正アクセスなど、不正な活動に悪用される可能性があります。
使用せざるを得ない場合、十分警戒ください。
その他のツール
カスペルスキーパスワードチェック
HIBP のデータベースを利用したパスワードの安全性チェックツールです。こちらも有効な選択肢の一つです。
https://password.kaspersky.com/jp/
まとめ
Chrome で「パスワードがデータ侵害で検出されました」という警告が表示された場合、まずは落ち着いてパスワードの変更を行いましょう。
とくに、知らないうちに保存されたパスワードやデフォルト設定のパスワードには注意が必要です。
パスワードの安全性を常にチェックし、セキュリティを強化することで、オンライン上のリスクを減らしましょう。
