ライフスタイル

Googleからパスワード漏洩について警告される原因と今後とるべき対策

Googleからパスワード漏洩について警告される原因と今後とるべき対策

とある日Googleからメールなどで「保存したパスワードの一部がウェブ上に漏洩しました」「ウェブ上に漏洩したパスワードを変更してください」などというメッセージが届いた経験はありませんか?

もし、そのまま状態を放置しているようであれば、直ちにパスワードの安全性を確認したほうが良いかもしれませんよ。

その前に、詐欺メッセージである可能性もありますので本文に書かれているリンクに飛ぶ前に遷移先のドメインが本家Googleなのかをしっかりと確認してからアクセスするようにしましょう。

ちなみに、短縮URLと言って「https://goo.gl」「https://bit.ly」などの短いURLが書かれていれば「短縮URL展開ツール」というサービスで正しいドメイン名を確認することができるので使ってみてください。

というわけで今回は、Googleからパスワード漏洩についての警告があった時の原因や、今後できる対策について詳しく解説していきたいと思います。

 

 

漏洩の警告文が出る原因

漏洩の警告文が出る原因

Googleからの警告でパスワードが漏洩したことの通知があった場合、上の画像のように3件の警告文の中に「漏洩した可能性のあるパスワードが●件あります」などという文言が表示されています。

このページはGoogleアカウントにログインした状態のホームから[セキュリティ] > [アカウントの保護 (セキュリティ診断)] > [保存したパスワード (パスワード チェックアップに移動)] > [パスワードを確認]のボタンを押したページから確認することができます。

※途中に再度ログインが必要な場合があります。

また、このような漏洩の警告文が出るのは当該アカウントのログイン情報がオンライン上に同じユーザー名とパスワードの組み合わせで公開されている可能性を示しています。

例えば、ルーターなどの初期設定のユーザー名とパスワードをWeb上で閲覧できるようなログイン情報をブラウザに保存していている場合などにも、この警告文が表示されます。

ちなみに、パスワードに関する通知をオフにしたい場合は「https://passwords.google.com/」にアクセスし、右上の歯車アイコンを選択し[パスワードアラート]のボタンを押すことで設定をすることができます。

 

警告文が出た後に取るべき行動

警告文が出た後に取るべき行動

まず警告文が表示された場合、文章の右側に表示されているプルダウンボタン(矢印)を押して、当該アカウントを確認して「パスワード生成ツール」などを利用して新しいパスワードに変更する必要があります。

さらに、当該アカウントと同じパスワードを使っているサービスについても推測される危険性があるので、変更しておくことを強くオススメします。

また、それ以外にも「何故、パスワードが漏洩してしまうのか」「パスワード漏洩の危険性」「再発防止のために何をすべきか」「パスワードの管理方法」などについてしっかりと学ぶ必要があります。

 

何故、パスワードが漏洩してしまうのか

何故、パスワードが漏洩してしまうのか

パスワード漏洩とはオンライン上に既にユーザー名とパスワードのペアが存在している状態と、セキュリティの脆弱性を突いて行われるハッキングによって情報が外部に流出させられてしまう状態を表しています。

そもそも、パスワード漏洩が何故起こるのかというと「推測されやすいパスワードを使っている」「セキュリティリスクのあるサービスを利用している」「パスワードの管理方法に問題がある」の3つのポイントに集約することができます。

 

推測されやすいパスワードを使っている

推測されやすいパスワードを使っている

推測されやすいパスワードとは「数値、アルファベット(大文字・小文字)、記号などを組み合わせずに構成されたパスワード」「8文字以下の短いパスワード」「単語を含んでいるパスワード」などの簡単に暴かれてしまう文字列のことです。

中でも「admin」「password」「root」などのシステムのデフォルトパスワードとしてよく使用されるものをそのまま使っている場合などは、非常に危険ですので必ず変更する必要があります。

また、様々なサービス間で同様のパスワードを使用していることも推測されやすい原因になります。

【パスワード生成】複雑で強力なパスワードの作り方と安全な管理方法について解説
【パスワード生成】複雑で強力なパスワードの作り方と安全な管理方法について解説

皆さんは、パスワードを考える時に、組み合わせの複雑さや管理方法について考えたことはありますか? ほとんどの人は、同じパスワードを別々のサービスでも使い回していたり、覚えやすいようにと、何かのキーワード ...

続きを見る

 

セキュリティリスクのあるサービスを利用している

セキュリティリスクのあるサービスを利用している

セキュリティリスクのあるサービスの利用とは、古い暗号化方式(WEP)などが使われているネットワークを利用したり、パスワードが設定されていないフリーWiFiや、URLの先頭に「https://」が付いていないWebサイトにアクセスすることなどによる盗聴の危険性のことです。

もちろん、これら以外にも偽サイトに個人情報を入力してしまった場合の漏洩や、サービス自体がハッキングによるパスワード漏洩の脆弱性を持っている場合もありますので、パスワードの強度を高くしたり通信の安全性を気にしていたとしても、ある日突然被害に遭う場合があります。

例えば、サービスを通して個人情報が漏洩した事件としては以下の事案があります。

 

【宅ふぁいる便】平文パスワード漏洩

「宅ふぁいる便」はファイル転送サービスとして多くの方に利用されていたサービスですが、サーバーへの不正アクセスにより退会済みユーザーも含めた481万5399件の「名前」「メールアドレス」「パスワード」「性別」「生年月日」などの情報流出が2019年1月25日に発覚しました。

中でも多くの人を驚かせたのは、流出したユーザーのログインパスワードが平文(暗号化されていない文字列)で保存されていたことです。

その後「宅ふぁいる便」はサービスを休止し、システムの再構築費用などを考慮し2020年3月31日にサービスが終了しました。

運営元の大阪ガス子会社の「オージス総研」は「2019年3月14日」「2020年1月14日」「2020年3月31日」に事件についての報告とお詫びのコメントを残しています。

 

【Trello(トレロ)】Googleの検索結果に個人情報流出

Trello(トレロ)」はToDoリストのようにタスク管理を助けてくれるサービスだったのですが、サービスがWeb上で運営されていたこともあり、設定したタスクの公開範囲を「公開」にしているものに関しては、URLさえ分かれば社外秘資料、パスワード、その他膨大な個人情報などのあらゆるデータにアクセスできる仕様でした。

ですが、この仕様について理解しないままメモ帳代わりにTrelloを使っていた方々が非常に多く、個人だけでなく複数の有名企業などの内部情報が漏れるという前代未聞の事態になりました。

問題発覚後、運営元の「Atlassian(アトラシアン)」声明を発表しており、サービスを安全に利用するための正しい使い方について書かれたブログを公開されています。

 

パスワードの管理方法に問題がある

パスワードの管理方法に問題がある

パスワードの管理方法に問題があるというのは「PC、スマホ内部にパスワードが分かるデータを保存している」「サービスの仕様を理解せずパスワードのやり取りを行う」「誰にでも見える場所にパスワードが分かる紙を貼っている」などのことです。

そもそもパスワードの管理方法に問題があると、強固なパスワードを作成しても何か問題があった時には平文のまま流出してしまいますので、新しいパスワードを作成した時点で管理方法についても同時に考える必要があります。

 

漏洩したパスワードを使い続ける危険性

漏洩したパスワードを使い続ける危険性

通常パスワードが漏洩した場合、ユーザー情報(アカウント名、メールアドレス)なども一緒に流出していることがほとんどですので、「他のサービスはハッキングを受けてないから大丈夫だろう」と思っていても使用しているメールアドレスとパスワードのペアが一緒であれば推測される危険性が高くなり、アカウントが乗っ取りの被害に遭う可能性が考えられます。

ですので、パスワードが漏洩してしまった場合は他サービスで使用しているパスワードについても見直す必要があるのです。

 

パスワードが漏洩しないために出来ること

パスワードが漏洩しないために出来ること

ここまでパスワードが漏洩してしまう原因と、同じパスワードを使い回すことの危険性について解説してきましたが「自分にそんなことは起こらない」「私には無関係なこと」などと心のどこかで思っているのではないでしょうか?

残念ながら漏洩経路は無数にありますので、被害に遭う可能性は大勢いの人が持っています。

ですが、対策によってその可能性を最小限に抑えることができますので、ここからはその方法について詳しく解説していきたいと思います。

 

強固なパスワードを設定する

強固なパスワードを設定する

強固なパスワードを設定することで悪意のある人物にパスワードを推測されたり、プログラムによる総当たり攻撃(連続でパスワードのパターンを試す行為)の被害を起こりにくくすることができます。

強固なパスワードとは「数字」「英文字(小文字・大文字)」「記号」を含んだ8文字以上のランダムな文字列のことです。

人間がパスワードを作った場合、覚えやすいようにと何らかの単語や生年月日を含んだ文字列を作ってしまいがちですがパスワード生成ツール」などのパスワードを自動作成できるサービスを使って機械的に生成する方法が最も安全なやり方です。

 

安全なアプリ、Webサービスを使う

安全なアプリ、Webサービスを使う

セキュリティ的に危険なアプリやWebサービスを使用した場合、パスワードの強度に関わらず悪意を持った人物に情報が吸い上げられてしまいます。

安全なサービスかを判断するのはユーザー側には難しいかもしれませんが、最低限気をつけるべきポイントがあります。

それは「URLを見て偽サイトでないかを確認する」「仕様をしっかりと理解した上でサービスを使う」「アプリやWebサービスを使う前にネットの口コミなどで評判を調べる」などのことです。

これらのことに気をつけておくだけでも、漏洩被害に遭う確率を随分減らすことができます。

また、最近ではSMS(ショートメッセージ)に一見何の変哲もない短縮URLを添付して詐欺をはたらく輩もいますので、そういった場合は「短縮URL展開ツール」などを使って飛び先のページが怪しくないかを確認するようにしましょう。

 

公共のWiFiなど安全性の低いネットワークは使わない

公共のWiFiなど安全性の低いネットワークは使わない

公共で提供されているWiFiはパスワード無しで使えてしまうものも多く非常に便利ですが、誰でも簡単に使用することができるので内部の通信が悪意を持った人物に盗聴される危険性があります。

中でも危険なのが、お店などの正規のフリーWiFiに見せかけて街中に存在している「なりすましアクセスポイント」です。

このネットワークに繋いでしまうと偽のログインページに誘導されパスワード情報を盗まれたり、悪意のあるソフトウェアを強制的にダウンロードさせられたりする危険性もあります。

これらの危険性を回避するためにはスマホのテザリング機能を使ってインターネットに接続するか、ポケットWiFiを別途用意して使うことが有効です。

ちなみに、ポケットWiFiの方が通信速度が速く月額費用も一定に抑えることができるのでオススメです。



安全性の低いサーバーを立てない

安全性の低いサーバーを立てない

安全性の低いサーバーとは「ポート開放」などを行い他のマシーンからリクエストを受けられるデバイスでパスワード保護を甘く設定していたり、既知の脆弱性があるサーバーのことです。

ハッカーはポート(入り口)が開かれている脆弱なマシーンを無作為に探し悪意のあるリクエスを送りつけてくる場合が多く、万が一リクエスが通ってしまった時にはランサムウェアと言った身代金要求型のウイルスをLAN内のデバイスに感染させられ、パスワードなどの個人情報が抜き取られる可能性が考えられます。

そういったことからも、無闇矢鱈に好奇心でポート開放を行ったりサーバーを立てないようにしましょう。

もしも、業務上リモートアクセスなどが必要な場合は専門家に相談しながら進めることをオススメします。

 

パスワードが分かるデータをPCやスマホ内部に保存しない

パスワードが分かるデータをPCやスマホ内部に保存しない

もしもLAN内のコンピューターがランサムウェア(身代金要求型ウイルス)に感染してしまった場合、感染した端末内部にあるファイルが暗号化され見れなくなってしまうだけではなく、データを外部のサーバーにアップロードされる危険性があるので、システムの復旧に時間がかかるだけでなく企業であれば今後のサービス提供にも悪影響が出てきてしまいます。

そういったことからも、顧客や個人のパスワードを含めた個人情報はPCやスマホ内部には保存せずに、用紙に印刷して関係者しか見れない場所で厳重に補完して管理することをオススメします。

 

もしもパスワードが漏洩しても大丈夫な状態にしておく

もしもパスワードが漏洩しても大丈夫な状態にしておく

パスワードが漏洩しないようにセキュリティ対策をしていても、自分が気づかないところに穴があれば流出する危険性があります。

流出したパスワードなどが使われた場合、アカウント乗っ取り被害に遭う可能性もゼロではありません。

ましたや、Googleアカウントなどの生活する上で欠かせないサービスの乗っ取りに遭った時には非常に大きな被害を受けることが予想されます。

そうならないためにも「ワンタイムパスワード」などの2段階認証の仕組みで、より詳細に本人確認をするための仕組みを導入すると良いでしょう。

そのワンタイムパスワードが設定できるアプリとして優秀なのが、Googleが提供している「Google認証システム」です。

このアプリを使えば、サービスにログインする際に必要なパスワード入力と加えて、ワンタイムコードの発行、入力をしてログインするようにできるので、より安全にアカウントを保護することができます。

Google Authenticator

Google Authenticator

Google LLC無料posted withアプリーチ

 

Googleアカウントに2段階認証を設定する方法

Googleアカウントに2段階認証を設定する方法

Googleアカウントにログインした状態で「https://myaccount.google.com/」のページアクセスし[セキュリティ]→[アカウントの保護]と進み、セキュリティ診断ページの「2段回認証プロセス」ボタンの中から「2段階認証プロセスの設定」のリンクを押すことで認証システムアプリの登録を行うことができます。

ちなみに、Google認証システムをインストールしたスマホが使えなくなりログインできなくなったとしても、Googleアカウントでは「バックアップコード」を使いログインする仕組みも備えられています。

作成方法についてはこちらのページをご覧ください。

 

まとめ

今回はGoogleからパスワード漏洩について警告される原因と、漏洩リスクを減らすための対策法について解説してきましたが、いかがでしたか?

セキュリティについて普段から意識することは少ないかもしれませんが、今回のことがきっかけで危機感を感じた方も多かったのではないでしょうか?

まずは焦らずに、重要なアカウントからセキュリティを固めていき、今後の対策についてじっくりと考えていくと良いでしょう。

 

【31日間無料】U-NEXTで話題の映画、アニメ、漫画を見まくろう!

無料トライアル実施中!<U-NEXT>

  • この記事を書いた人

ゲンキ

物作りと情報発信が好きなWEBエンジニア。
高卒で肉体労働や不安定な職を転々とする生活の中、一念発起し独学でプログラミングの学習を開始。
低学歴・学習能力ゼロ・貯金ゼロ・人脈ゼロ・語彙力ゼロ・コミュ力無し・PCスキル無し・うつ病・HSP・発達障害(ASD / ADHD)という極限状態に絶望するも、自力でスキルを身に付ける努力を続ける。
プログラミング習得後はWEB制作(フロントエンド / バックエンドの実装)の仕事をして、休みの日は、趣味でアプリの開発をしたり、日々学んだことをブログとして、まとめる生活をしています。

-ライフスタイル

Copyright© Webサイトで稼ぐ技術 , 2022 All Rights Reserved Powered by AFFINGER5.