パスワードが漏洩しました!?Chromeで急にポップアップが出てきたけどこれって何?

ライフハックなアレコレ
スポンサーリンク

ネットサーフィンをしていたら、急にこんなポップアップが出てきて、びっくりしたことありませんか?変なサイトみているわけでもないし、もしかしてウイルスに感染したんじゃないの?

そんな風に思ってしまうかもしれませんが、実はこれGoogleが2019年末に実装した、「Password Checkup」という新機能になります。

急に見知らぬポップアップが出てくると、反射的に身構えてしまうんですが、この機能はむしろあなたのセキュリティを未然に防いでくれている便利な機能なんです。

Password Checkupとは何か?

この機能は、「入力した(もしくはChromeで保存した)パスワードが第三者によるデータ漏えいの影響を受けていないかを自動で調べる」サービスになります。

GoogleはこれまでもGoogleアカウントに対してだけは、漏洩したパスワードが使用されていた場合には、ユーザーをパスワードを変更するように通知していましたが、この仕組みをChromeに保存されたIDとパスワードの組み合わせに適用し、Googleアカウント以外の全アカウントに対して、事前にID/PASSSWORDの警告を通知してくれています。

このPassword Checkupは、元々はChromeの拡張機能としてリリースされたものですが、2019年末に Chromeの標準機能として実装されていました。そのため、ユーザーはインストールした記憶がないとは思うんですが、標準UPDATEでChromeを使っているユーザーは実は全員今のChromeブラウザで使用することが可能です。

Password Checkupの仕組み

IDとパスワードの組み合わせと聞くと、Googleはこういった情報を勝手に抜いているんじゃないかと思ってしまうんですが、具体的な仕組みとしては、公式ブログでも説明がされています。

ハッシュ化されたデータを使って漏洩したものと比較している

簡単にいうと、こんな感じの流れで使用しているパスワードが漏洩していないかどうかを確認しています。

  1. Google側で漏洩したパスワードとIDのハッシュ化(暗号化)したリストを持っている
  2. Chromeブラウザでユーザーの入力したIDとパスワードを強力にハッシュ化(暗号化)してGoogle側に送信
  3. Google側でハッシュ化(暗号化)したユーザーのアカウントデータと、ハッシュ化(暗号化)した漏洩リストを照合する
  4. 漏洩したものであることが判明した場合、ユーザーに通知する <ーここでポップアップが上がる

アカウントデータが勝手にGoogle側に漏洩しているような気がしてしまうんですが、送信されたデータはあくまでもハッシュ化したものになっているので、生のアカウントデータが送られているわけではないのでそこは安心して大丈夫です。

Chrome以外の漏洩チェッカー

因みにそもそも漏洩しているパスワードリストって何?って思う人もいるかもしれないんですが、実は自分のアカウントが既に漏洩されているかどうかは簡単にWEBツールを使って調べることが可能です。

Have I Been Pwnd

こんな感じで漏洩しているものは簡単に調べることができてしまいます。(あくまでも漏洩しているかどうかだけ調べることが可能で、中身は確認できない)

Password Checkupの使い方

パスワードのチェックは、基本的には入力時に自動で実行されますが、それ以外にも事前にパスワードが漏洩しているかどうkしているかどうかを事前にチェックすることが可能です。

Chromeの設定画面からから、プライバシーとセキュリティ>安全確認のタブから自分のアカウントに危険がないのかを確認することが可能です。

ここで確認できるのは実際にアカウントが侵害されているかどうかではなく、あくまでもIDとパスワードが漏洩したものを使っていないかということになります。

多分皆さんも同じIDとパスワードを使いまわしてしまったことって結構あると思うんですが、その中の一部のセットが漏洩してしまうと、あとは同じものを使っていた全てのものが今後なんらかしらの被害に会う可能性が高くなってしまうんです。

今回僕の場合も、ずいぶん昔に使っていたアカウントの組み合わせが漏洩の被害にあっていることがわかりました。昔ちょこっとだけ使ったようなサイトで、使っていたようなアカウントで、こんなサイトでいつ使ったんだろうと思ってしまいますよね。

もしパスワードの漏洩が判明したら?

Password Checkupで万が一、パスワードの漏洩が判明した場合は、必ず以下の対応を取るようにしましょう。

パスワードの漏洩が判明した際には
  • (使用しているサイトの場合)漏洩したサイトでのパスワードの変更
  • (使用していないサイトの場合)アカウントの凍結/削除

特に僕の場合は、今はもうとっくに使っていないようなサイトで、昔のアカウントが残ってしまっているようなケースが多く、本来は使わなくなったサイトはどんどんアカウントを削除していかないとだめですね。

またパスワードの使い回しは良くないことは良くわかっているのですが、とはいえ全部を覚えられないという方もいると思います。

パスワードをサイト毎に変えるポイントとしては、「固定のパスワード」+「サイト毎のID」を組み合わせたものにすることがオススメです。例えば、固定のパスワードが”P3sswrd“だったとしましょう。その場合、例えばAmazonでのIDを”amz“とした場合、この2つを組み合わせて、”P3sswrdamz“というパスワードを作るわけです。これと同様に他のサイト、例えば楽天の場合には、IDを”rktn“として、”P3sswrdrktn“となるわけですね。

パスワードのクラッキング(悪意をもった解錠)は、基本的にはブルートフォースアタック(総当たり)や流出したものを使用して、総当たりにする方法などがあります。そのため、こんな簡単ですぐ見破られてしまうんじゃないかと思うんですが、これらの攻撃を防ぐのであれば、この程度で十分で、さらに1つが流出したとしても、パスワード自体は異なっているので、一度にアカウントが流出するようなことはなくなるわけですね。

もちろん、サイト毎のIDをもう少しわかりづらくしておくのも、良い方法だと言えますね。その際、しっかりとサイト毎のIDのルールを自分の中で決めておいて、忘れないことが重要です。

日頃からのセキュリティソフトの導入が肝心

パソコン・スマホには、日頃から必ずセキュリティソフトをインストールしておきましょう。万が一、何かがあった時にインストール しておけば良かったと思っても、もう遅いです。

変なサイトなんか見ないから大丈夫ではなく、インターネットに接続する以上、どこにいてもセキュリティを高めておくことが重要です。

僕のオススメは、コスパ抜群のESETセキュリティソフトになります。

ESETセキュリティソフト:Mac/Windowsの最強アンチウイルスソフト
ウイルスソフトってなにをインストールしていますか?パソコンを買ったときによく一緒にこれもどうですかとか家電量販店の店員からおススメされたり、パソコンに大手のウイルスソフトがプリインストールされて、1か月の無料期間を過ぎてからなんとなくそれ...
スポンサーリンク
当サイトの運用レンタルサーバ
【当サイト運用】コスパ最強のColorfulBox(カラフルボックス)のオススメポイント
1.超高速Webサーバー「LiteSpeed」と「HTTP/2」「QUIC」の高速化技術にも対応。
2.全プラン最新のCPU・大容量メモリ・ピュアSSDを採用。
3.最新のスペックと技術でWordPressをより高速・安全に表示!
4.東日本・西日本のリージョン選択が可能な “地域別”の自動バックアップを無料で搭載。
5.次世代セキュリティ「Imunify360」でマルウェア、改ざんを防止。
6.「かんたん操作のコンパネ/cPanel」を採用!
7.無料SSL(COMODO)に標準対応。
8.マルチドメイン・データベース・メールアドレス、すべて無制限。
9.ライブチャット・電話・メールに対応した安心のサポート体制。
10.ドメイン取得が可能!業界トップクラスの「バリュードメイン」を採用。
キャンペーン期間 2020年12月31日まで
「12ヶ月」「24ヶ月」「36ヶ月」の本契約をした場合は利用料が10%割引
プロモーションコード PK4JK4RJ
スポンサーリンク
スポンサーリンク
ライフハックなアレコレ IT・通信
こちらの記事も読まれています
スポンサーリンク
スポンサーリンク
\この記事が役に立ったらシェアしよう/
この記事を書いた人
Taka

スマートホーム x IT x 子育て。モバイルシステムエキスパート。独学でプログラミング勉強してWEBアプリ作ったりしながら、日々の生活の中で面白そうな情報を記事にしています。3万PV/月達成しました!お仕事の依頼はお問合せからお願いします。

\フォローする/
デジライン
Subscribe
更新通知を受け取る »
guest
0 Comments
Inline Feedbacks
View all comments

お得なプライム特典はこちら