Chromeで「パスワードの確認」ポップアップが表示された場合の対応方法

スポンサーリンク
「パスワードの確認」ポップアップ調べてみた
「パスワードの確認」ポップアップ
スポンサーリンク

ECサイトなどのID、パスワードを入力して利用するWebサイトのログイン時に、以下のような「パスワードの確認」ポップアップが表示される場合があります。

「パスワードの確認」ポップアップ
「パスワードの確認」ポップアップ

これは、Googleが2019年12月10日にブラウザのGoogle Chromeのバージョン79をリリースした際に、新たに追加された「Password Checkup」機能によるものですによるものです。

データが漏洩したサイトで自分のパスワードやユーザー名が使用された場合に、Chrome で通知を表示するよう設定できます。

Google Chromeヘルプ:Chrome 79 の新機能

表示されるメッセージが「サイトまたはアプリでのデータ侵害により、パスワード情報が漏洩しました。保存したパスワードをすぐに確認することをおすすめします。」というものですので、かなり驚きます。

しかし、このポップアップが出たからといって、アクセスをしているWebサイトからIDとパスワードが漏洩したとは限りませんが、入力したIDとパスワードの組み合わせ自体がどこかで漏洩している事は確かです。

そこで、このメッセージが表示された時の対応方法について見てみます。

スポンサーリンク

「Password Checkup」機能の仕組み

「Password Checkup」機能は、IDとパスワードの組み合わせが、第三者によるデータ漏えいの影響を受けていないかを自動で調べるChromeの機能です。

Google Security Blog:Introducing portability of Google Authenticator 2SV codes across Android devicesによると、Googleは漏えいなどによって危険だと分かっているアカウント名とパスワードの組み合わせを40億個以上把握しているとのこと。

これにより、危険なIDとパスワードのリストと、ユーザーが入力したIDとパスワードとを照合し、危険かどうか判定してアラートを表示しています。

「Password Checkup」機能は、Webウェブから「passwords.google.com」にアクセスして利用することもできます。

漏洩の判定方法

漏洩の判定は以下のように行われています。

01 Googleは漏洩したIDとパスワードのリストを発見した時に、ハッシュ化と暗号化をして保存。

02 Webサイトにログインする時、「Password Checkup」機能はユーザー名とパスワードをハッシュ化と暗号化したコピーをGoogleに送ります。

この時にGoogleはアカウントの詳細なデータを記録しないことを保証します。

03 プロセス中において、アカウント詳細を明かすことなしに、安全でないユーザー名とパスワードリストに検索を行います。

04 ユーザー名やパスワードが漏洩しているかのチェックは完全にローカルで行われ、アカウントが漏洩していた場合には、すぐにパスワードを変更する必要があります。

パスワードが漏洩していた場合

「パスワードの確認」ポップアップが表示された場合には、IDとパスワードの組み合わせが漏洩しています。

その場合には、「パスワードの確認」ボタンをクリック。

パスワード チェックアップ
パスワード チェックアップ

本人確認画面が表示されますので、パスワードを入力して次へをクリック。

パスワードチェックが走って結果が表示されます。

  • 漏洩した可能性のあるパスワード
  • 再利用されているパスワード
  • 脆弱なパスワードを使用しているアカウント

こちらで表示されたものについては、必ず変更をしましょう。

‘;–have i been pwned?で確認する

今回、Google Chromeの「Password Checkup」機能で警告が表示された場合の対応方法をご紹介しましたが、他にもIDとパスワードが漏洩しているかどうかを調べる事ができるWebサイトがあります。

;–have i been pwned?」はメールアドレスを入力するだけで、個人情報やパスワードが流出したかどうか確認できるWebサイトで、セキュリティ研究者のTroy Hunt(トロイ・ハント)氏が運営しているWebサイトです。

';--have i been pwned?
‘;–have i been pwned?

;–have i been pwned?」のトップページには、情報漏洩についてのデータが掲載されていますが、2020年5月16日現在、情報漏洩が明らかになったWebサイト数は445、漏洩したアカウントは9,620,883,035と膨大な数に上がっています。

トップページにメールアドレスを入力する欄があるので、ここに自分のメールアドレスを入力してチェックができます。

ただし、こういったWebサイトを謳って個人のメールアドレスを集めているWebサイトもあり得ますので、信頼できるかわからないWebサイトには、むやみにメールアドレスを入力する事はやめておきましょう。

メールアドレスを入力して「pwned?」のボタンをクリック。

Good News
Good News

何も情報が漏洩していなかったら、「Good News – no pwnage found!」と表示されます。

Oh no pwned!
Oh no pwned!

メールアドレスに対応するパスワードが漏洩していると、「Oh no – pwned!」と表示され、情報漏洩しているWebサイトとどのような情報が漏洩しているのかが表示されます。

こちらが表示された場合には、パスワードを変更し、出来ればメールアドレスも変更しておきましょう。