Googleから「保存したパスワードの一部がウェブ上に漏洩しました」が届く理由とは?パスワード漏洩のリスクやおすすめの管理ツールを紹介!

2023/05/19

 

main.jpg

多くの方がGmailなどGoogleのサービスを利用し、Googleのアカウントを持っていることでしょう。そして、Googleから「重大なセキュリティ通知」というタイトルで、「保存したパスワードの一部がウェブ上に漏洩しました」というメールが送られてきたことがある方もいらっしゃるのではないでしょうか。

フィッシングメールのようにも見えますが、実際にGoogleがメッセージを送信している可能性があります。この記事では、そのようなメールが届く理由や偽メールかどうかの判断方法をふまえ、パスワードを使い回す危険性について解説します。

 

■Googleから「保存したパスワードの一部がウェブ上に漏洩しました」が届く理由

sub1.jpg

Googleから「保存したパスワードの一部がウェブ上に漏洩しました」というメールが届くことがあります。このようなメールが届く理由について見ていきましょう。
 

◇なぜこのようなメールGoogleから届くのか?

前述のようなメールは、現在入力したID/パスワードとまったく同じ組み合わせが、過去に別のサイトから漏洩していることを知らせるメールです。つまり、あなたが「複数のサイトで同じパスワードを使い回している」ことを意味します。

漏洩したID/パスワードの組み合わせは、Googleが独自に入手したものを暗号化して、ユーザーに警鐘を鳴らす目的で使用しています。漏洩ID/パスワードの組み合わせを持っているのは、Googleだけではありません。世界中の悪意ある攻撃者が、不正アクセス目的で所持しています。

今後、同じID/パスワードの組み合わせを使い続けると、使い回しパスワードを使用するサイトで不正アクセスされる可能性が非常に高くなります。不正アクセスを受けると、個人情報の漏洩に加えて、クレジットカード情報の漏洩など、金銭的な被害が生じることになりかねません。
よって、このメールが届いた場合は今すぐパスワードを変更し、パスワードの使い回しをやめることをおすすめします。

このようなメールは、端的にいうと「同じパスワードをいつまでも使い回していると危険なので、早く変更しましょう。いつ攻撃されてもおかしくありません」というGoogleからのアドバイスです。
 

◇Googleを装った偽メールではないのか?

Googleは公式にこのようなメールを送信していますが、Googleを騙った偽メールの場合もあります。警告メールを受信した際には、はじめに送信者を確認しましょう。@マーク以降のドメインがGoogleであれば、公式のメールである可能性が高いといえます。

タイトルや警告文が公式にGoogleから送られているものと同じであっても、メールのドメインが異なれば、それは偽メールです。偽メールでは、あなたのID/パスワードを盗み出すサイトへ誘導することが考えられるため、何も考えずに記載されているURLなどからアクセスしないようにしましょう。

Googleが送信する警告メールの内容としては、次のような文言のものが確認されています。

・保存したパスワードの一部がウェブ上に漏洩しました
・保存されているパスワードのうちウェブ上に漏洩したものを変更してください
・保存したパスワードの一部がGoogle以外でのデータ侵害で漏洩しました
 

など
 

いずれも警告のあとにパスワードの変更を促されますが、偽メールでないことをしっかりと確認したうえで対応することが重要です。

■偽メールかどうか「パスワード チェックアップ」で確認

sub2.jpg

メールの真偽を確認するには、パスワード マネージャーの「パスワード チェックアップ」を利用することも有効です。パスワード チェックアップは、利用するGoogleアカウントに保存されたパスワードの状態をチェックするための機能で、実際にパスワードを使い回しているのかどうかなどを確認できます。

利用するためには「パスワード チェックアップ」​​​​​​​のページにアクセスし、対象のGoogleアカウントでログインした状態で「パスワードを確認」ボタンを押します。チェックが終わると次のような結果が表示されるため、それぞれの表示内容に従って対応しましょう。
 

◇「使い回しているパスワードが○件あります」と表示されている場合

これは、パスワードを使い回している場合に表示される警告で、使い回しているパスワードを利用するサイト・アプリごとに表示されます。パスワードを使い回していると、漏洩時に不正アクセスの被害が拡大するおそれがあるため、一意なパスワード(そのサイト・アプリのみで使用するパスワード)を設定するようにしましょう。

この警告が出た場合の対処方法は、同一のパスワードを使用しているサイト・アプリのパスワードを変更することです。現在設定しているパスワードは、パスワード マネージャーの「パスワードを表示」から確認できます。

パスワードを変更する場合は、パスワード チェックアップの「パスワードを変更」ボタンから変更可能です。それぞれ一意なパスワードを設定することで、警告が表示されなくなります。
 

◇「脆弱なパスワードを使用しているアカウントが○件あります」と表示されている場合

パスワードとして、強度が低いものを利用していることを示す警告文です。例えば「password」や「12345」のようなパスワードは非常に強度が低く、簡単に突破されてしまいます。

このようなパスワードは、設定していてもあまり意味がありません。そのため、この警告が表示された場合には、他の警告文と同様にパスワードを変更することをおすすめします。
強固なパスワードにするには、次の要件を満たすようにするとよいでしょう。
 

・アルファベットの大文字、小文字を使用する
・数字を使用する
・記号を使用する
・意味のある単語を使用しない
・個人情報にまつわる単語、数字を使用しない
・長いパスワードにする(10桁以上)
 

これらの要件をすべて満たすパスワードは、非常に強固なものといえます。
これまで、パスワードの桁数は8桁以上であれば比較的安全とされていました。しかし近年では、8桁のアルファベットだと20分程度、8桁のアルファベット+数字だと1時間程度で解析されるといわれています。

そのため、パスワードは10桁以上で設定することをおすすめします。
 

◇「漏洩した可能性のあるパスワードが○件あります」と表示されている場合

パスワード チェックアップの警告のなかで、即座に対応が必要となるのがこの警告です。この警告が表示された場合、すでにパスワードが第三者に知られている可能性を示唆しています。
ただし、表示されるサイト・アプリのパスワードが、Googleアカウントから漏洩したわけではありません。設定しているパスワードがどこかで漏洩し、それと同じものが保存されている場合に表示されるメッセージです。


パスワードがどこから漏洩したのかを確認することはできませんが、パスワード自体は知られているため、必ず変更しましょう。

■ID・パスワードの漏洩は過去に5億件以上

「まさか私のパスワードが漏洩しているはずがない。何かの間違いではないか」と思う方もいらっしゃるかもしれません。しかし、パスワードの漏洩は非常に一般的な出来事です。

過去に漏洩したログイン情報を収集し、情報セキュリティの啓蒙を行なっている「Have I been pwned?(HIBP)」では、5億5000件以上の漏洩したパスワード情報を保有しています。これはあくまで、HIBPが収集できた情報のみの合算となりますので、実際に漏洩しているパスワードはこの数字をはるかに上回るものになっている可能性が高いでしょう。

実際、HIBPでは自身のメールアドレスを入れると、自分のパスワードが過去に漏洩したかどうかを確認できます。筆者のメールアドレスからは「Adobe」「Dropbox」「不明な漏洩2件」が確認されました。

Chromeで「パスワードの確認」ポップアップが表示された方も、表示されていない方も、HIBPで過去に漏洩が確認されていないかを確かめてみることをおすすめします。

 

■パスワードの使い回しは「リスト攻撃」の格好のターゲットに

sub3.jpg

パスワードの使い回しが怖いのは、非常に一般的なサイバー攻撃の一つである「リスト攻撃」のターゲットとなり、不正アクセスを受ける確率が非常に高いことです。

例えばユーザーが、A、B、C、D、Eという5つのクラウドサービスを使っていたとしましょう。ハッカーの攻撃を受けたAサービスから、ユーザーのID/パスワードが漏洩した場合、ハッカーは同じIDとパスワードの組み合わせを使って、B、C、D、Eなどのクラウドサービスも攻撃していきます。
 

漏洩したからといって、すぐに攻撃を受けるわけではありません。各サービスは、短時間に多くのアクセス試行があった場合、不正アクセス試行と判断し、当該IPからのアクセスを遮断するため、攻撃者も慎重に攻撃を行ないます。例えば、リストを利用して数十分に一度不正アクセスを試みる、リスト攻撃の進化版とでもいうべき「パスワードスプレー攻撃」という手法が用いられる場合もあります。
 

もし過去にパスワードが漏洩したにも関わらず、現時点で被害が生じていなかったとしたら、たまたま運が良かっただけです。今日、明日にも不正アクセスを受けて、個人情報の漏洩や金銭の被害が生じるかもしれません。

そのため、パスワードは適切に管理する必要があり、セキュリティ対策の一環として重要視する必要があります。企業のパスワード管理については、以下の記事で詳しく解説していますので、併せてご覧ください。
 

企業のパスワード管理の重要性について|安全なパスワード管理方法やおすすめのシステムを紹介

 

■パスワードの一部がWeb上に漏洩することを防ぐ!おすすめ管理ツール「トラスト・ログイン」

トラストログイン.png

パスワードの使い回しはやめよう、といっても、多くのユーザーはこのような感想を持つのではないでしょうか。
パスワードを使い回すな、といっても、利用しているサービスだけでも数十はある。これらすべてに別々なパスワードを設定し、かつ記憶しておくのは無理だ。


そこで登場するのが「トラスト・ログイン」です。トラスト・ログインは、企業向けのクラウド型パスワード管理ツールです。


まず、利用するすべてのサービスのパスワードを、トラスト・ログインが責任を持って預かります。そして、各サービスへのログインを、トラスト・ログイン経由とすることで、ユーザーは「トラスト・ログインのパスワード」だけを記憶しておけば、他のパスワードは忘れたとしても問題ありません。すべて、トラスト・ログインに記録されているためです。

トラスト・ログインを使うことは「たくさんのパスワードを頑張って記憶する」から、「すべて別々なパスワードに設定して、パスワードの使い回しをなくし預ける。覚えておくパスワードは1つだけ」という発想の転換です。これにより、トラスト・ログインに預けるパスワードは使い回しをゼロにでき、リスト攻撃やパスワードスプレー攻撃を受けるリスクは皆無となります。

もし社内で、Chromeの「パスワードの確認」を表示される従業員が複数いる場合は危険です。一人の社員がID/パスワードを漏洩することにより、会社の機密情報が大規模に漏洩することになりかねません。

こうした事態を防ぐためにも、早急にトラスト・ログインを導入し、パスワードの管理ならび使い回しゼロを実現いただければと思います。

 

■まとめ

Googleから「保存したパスワードの一部がウェブ上に漏洩しました」というメッセージが届いた場合、それはGoogleから警告されている可能性があります。もちろん、偽メールの可能性も考えられるため、メールのドメインをチェックしたり「パスワードチェックアップ」で確認したりしましょう。
​​​​​​​
Googleから警告されるとおり、パスワードの使い回しはセキュリティ上非常に危険です。近年では、個人で多くのサービス・システムを利用する機会が増え、パスワード管理の煩雑化が進んでいます。専用のソリューションを導入して、パスワードの使い回しを回避しながら、パスワード管理の効率化を実現しましょう。

この記事を書いた人

satoshi_mori.png

GMOグローバルサイン株式会社
トラスト・ログイン事業部
プロダクトオーナー
森 智史

国内シェアNo.1のSSL認証局GMOグローバルサインで10年間サポート部門に従事。抜群の知識量と分かり易い説明で多くのお客さまからご支持いただく。
現在は自社IDaaSのプロダクトオーナーとしてお客さまの意見を伺いながら使いやすくセキュリティの高いサービスを開発者たちと共に作成中。