ネットサーフィンをしていたら、急にこんなポップアップが出てきて、びっくりしたことありませんか?変なサイトみているわけでもないし、もしかしてウイルスに感染したんじゃないの?
そんな風に思ってしまうかもしれませんが、実はこれGoogleが2019年末に実装した、「Password Checkup」という新機能になります。
急に見知らぬポップアップが出てくると、反射的に身構えてしまうんですが、この機能はむしろあなたのセキュリティを未然に防いでくれている便利な機能なんです。
Password Checkupとは何か?
この機能は、「入力した(もしくはChromeで保存した)パスワードが第三者によるデータ漏えいの影響を受けていないかを自動で調べる」サービスになります。
GoogleはこれまでもGoogleアカウントに対してだけは、漏洩したパスワードが使用されていた場合には、ユーザーをパスワードを変更するように通知していましたが、この仕組みをChromeに保存されたIDとパスワードの組み合わせに適用し、Googleアカウント以外の全アカウントに対して、事前にID/PASSSWORDの警告を通知してくれています。
このPassword Checkupは、元々はChromeの拡張機能としてリリースされたものですが、2019年末に Chromeの標準機能として実装されていました。そのため、ユーザーはインストールした記憶がないとは思うんですが、標準UPDATEでChromeを使っているユーザーは実は全員今のChromeブラウザで使用することが可能です。
Password Checkupの仕組み
IDとパスワードの組み合わせと聞くと、Googleはこういった情報を勝手に抜いているんじゃないかと思ってしまうんですが、具体的な仕組みとしては、公式ブログでも説明がされています。
ハッシュ化されたデータを使って漏洩したものと比較している
簡単にいうと、こんな感じの流れで使用しているパスワードが漏洩していないかどうかを確認しています。
- Google側で漏洩したパスワードとIDのハッシュ化(暗号化)したリストを持っている
- Chromeブラウザでユーザーの入力したIDとパスワードを強力にハッシュ化(暗号化)してGoogle側に送信
- Google側でハッシュ化(暗号化)したユーザーのアカウントデータと、ハッシュ化(暗号化)した漏洩リストを照合する
- 漏洩したものであることが判明した場合、ユーザーに通知する <ーここでポップアップが上がる
アカウントデータが勝手にGoogle側に漏洩しているような気がしてしまうんですが、送信されたデータはあくまでもハッシュ化したものになっているので、生のアカウントデータが送られているわけではないのでそこは安心して大丈夫です。
Chrome以外の漏洩チェッカー
因みにそもそも漏洩しているパスワードリストって何?って思う人もいるかもしれないんですが、実は自分のアカウントが既に漏洩されているかどうかは簡単にWEBツールを使って調べることが可能です。
こんな感じで漏洩しているものは簡単に調べることができてしまいます。(あくまでも漏洩しているかどうかだけ調べることが可能で、中身は確認できない)
Password Checkupの使い方
パスワードのチェックは、基本的には入力時に自動で実行されますが、それ以外にも事前にパスワードが漏洩しているかどうkしているかどうかを事前にチェックすることが可能です。
Chromeの設定画面からから、プライバシーとセキュリティ>安全確認のタブから自分のアカウントに危険がないのかを確認することが可能です。
ここで確認できるのは実際にアカウントが侵害されているかどうかではなく、あくまでもIDとパスワードが漏洩したものを使っていないかということになります。
多分皆さんも同じIDとパスワードを使いまわしてしまったことって結構あると思うんですが、その中の一部のセットが漏洩してしまうと、あとは同じものを使っていた全てのものが今後なんらかしらの被害に会う可能性が高くなってしまうんです。
今回僕の場合も、ずいぶん昔に使っていたアカウントの組み合わせが漏洩の被害にあっていることがわかりました。昔ちょこっとだけ使ったようなサイトで、使っていたようなアカウントで、こんなサイトでいつ使ったんだろうと思ってしまいますよね。
もしパスワードの漏洩が判明したら?
Password Checkupで万が一、パスワードの漏洩が判明した場合は、必ず以下の対応を取るようにしましょう。
- (使用しているサイトの場合)漏洩したサイトでのパスワードの変更
- (使用していないサイトの場合)アカウントの凍結/削除
特に僕の場合は、今はもうとっくに使っていないようなサイトで、昔のアカウントが残ってしまっているようなケースが多く、本来は使わなくなったサイトはどんどんアカウントを削除していかないとだめですね。
またパスワードの使い回しは良くないことは良くわかっているのですが、とはいえ全部を覚えられないという方もいると思います。
パスワードをサイト毎に変えるポイントとしては、「固定のパスワード」+「サイト毎のID」を組み合わせたものにすることがオススメです。例えば、固定のパスワードが”P3sswrd“だったとしましょう。その場合、例えばAmazonでのIDを”amz“とした場合、この2つを組み合わせて、”P3sswrdamz“というパスワードを作るわけです。これと同様に他のサイト、例えば楽天の場合には、IDを”rktn“として、”P3sswrdrktn“となるわけですね。
パスワードのクラッキング(悪意をもった解錠)は、基本的にはブルートフォースアタック(総当たり)や流出したものを使用して、総当たりにする方法などがあります。そのため、こんな簡単ですぐ見破られてしまうんじゃないかと思うんですが、これらの攻撃を防ぐのであれば、この程度で十分で、さらに1つが流出したとしても、パスワード自体は異なっているので、一度にアカウントが流出するようなことはなくなるわけですね。
もちろん、サイト毎のIDをもう少しわかりづらくしておくのも、良い方法だと言えますね。その際、しっかりとサイト毎のIDのルールを自分の中で決めておいて、忘れないことが重要です。
日頃からのセキュリティソフトの導入が肝心
パソコン・スマホには、日頃から必ずセキュリティソフトをインストールしておきましょう。万が一、何かがあった時にインストール しておけば良かったと思っても、もう遅いです。
変なサイトなんか見ないから大丈夫ではなく、インターネットに接続する以上、どこにいてもセキュリティを高めておくことが重要です。
僕のオススメは、コスパ抜群のESETセキュリティソフトになります。
https://simple-was-best.com/eset-antivirus/
ポチップ
コメント