Chromeで「パスワードの確認」が表示されたら、今後高確率で攻撃されます

chrome_top.jpg

パソコンやスマートフォンからChromeブラウザを利用している方の一部は、インターネットサービスにログインした際に、このようなポップアップが最近よく表示されるとお気づきになっているかもしれません。

 chrome_popup.jpg

「パスワードの確認 サイトまたはアプリでのデータ侵害により、パスワード情報が漏洩しました。保存したパスワードを確認し、<ドメイン名> のパスワードを今すぐ変更することをおすすめします。」

このメッセージはどのような意味なのでしょうか。以下で解説します。

 

 

「パスワードの確認ポップアップ」=使い回しパスワードが漏えい

chrome_1.jpg

上記の「パスワードの確認」ポップアップの説明文をかみ砕いて説明すると、以下のようなことを意味しています。

  • 現在入力したID、パスワードと全く同じ組み合わせが、過去に別なサイトから漏えいしています。
    つまり、あなたは「複数のサイトで同じパスワードを使い回している」ことを意味します。
  • 漏えいしたID、パスワードの組み合わせは、グーグルが独自に入手したものを暗号化して、ユーザーに警鐘を鳴らす目的で使用しています。
  • 漏えいID、パスワードの組み合わせを持っているのは、グーグルだけではありません。世界中の悪意ある攻撃者が、不正アクセス目的で所持しています。
  • 今後、同じID、パスワードの組み合わせを使い続けると、使い回しパスワードを使用するサイトが不正アクセスされる可能性が非常に高いです。
  • 不正アクセスを受けると、個人情報の漏えいに加えて、クレジットカード情報の漏えいなど、金銭的な被害が生じる可能性もあります。
  • よって、今すぐパスワードを変更し、パスワードの使い回しをやめましょう。

端的に言うと、「同じパスワードをいつまでも使い回していると危険なので、早く変更しましょう。いつ攻撃されてもおかしくありません」というアドバイスです。

 

 

ID・パスワードの漏えいは過去に5億件以上

chrome_2.jpg

「まさか私のパスワードが漏えいしているはずがない。何かの間違いではないか」と思う方もいらっしゃるかもしれません。しかし、パスワードの漏えいは非常に一般的な出来事です。過去に漏えいしたログイン情報を収集し、情報セキュリティの啓蒙を行っている「Have I been pwned? (HIBP)」では、5億5000件以上の漏えいしたパスワード情報を保有しています。これはあくまで、HIBPが収集できた情報のみの合算となりますので、実際に漏えいしているパスワードはこの数字をはるかに上回るものになっている可能性が高いです。

実際、HIBPでは自身のメールアドレスを入れると、自分のパスワードが過去に漏えいしたかどうかを確認できます。筆者のメールアドレスからは「Adobe」「Dropbox」「不明な漏えい2件」が確認されました。

 chrome_hibp.png

Chromeで「パスワードの確認」ポップアップが表示された方も、表示されていない方も、HIBPで過去に漏えいが確認されていないかを確かめてみることをお勧めします。

 

 

パスワードの使い回しは「リスト攻撃」の格好のターゲットに

chrome_3.jpg

パスワードの使い回しが怖いのは、非常に一般的なサイバー攻撃の一つである「リスト攻撃」のターゲットとなり、不正アクセスを受ける確率が非常に高いということです。

例えばユーザーが、A、B、C、D、Eという5つのクラウドサービスを使っていたとします。そして、ハッカーの攻撃を受けたAサービスから、ユーザーのID、パスワードが漏えいした場合、ハッカーは同じIDとパスワードの組み合わせを使って、B、C、D、Eなどのクラウドサービスも攻撃していきます。

漏えいしたからといって、すぐに攻撃を受けるわけではありません。各サービスは、短時間に多くのアクセス試行が合った場合、不正アクセス試行と判断し、当該IPからのアクセスを遮断するため、攻撃者も慎重に攻撃を行います。例えば、リストを利用して「数十分に一度」不正アクセスを試みる、リスト攻撃の進化版とでもいうべき「パスワードスプレー攻撃」という手法が用いられる場合もあります。

もし過去にパスワードが漏えいしたにもかかわらず、現時点で被害が生じていなかったとしたら、たまたま運がよかっただけです。今日、明日にも不正アクセスを受けて、個人情報の漏えいや金銭の被害が生じる可能性もあるのです。

 

 

「トラスト・ログイン」を使い、パスワード使い回しを完全に終わらせる

chrome_4.jpg

パスワードの使い回しはやめよう、といっても、多くのユーザーはこのような感想を持つのではないでしょうか。

パスワードを使い回すな、といっても、利用しているサービスだけでも数十はある。これら全てに別々なパスワードを設定し、かつ記憶しておくのは無理だ。

そこで登場するのが「トラスト・ログイン」です。トラスト・ログインは、企業向けのクラウド型パスワード管理ツールです。まず、利用する全てのサービスのパスワードを、トラスト・ログインが責任を持って預かります。そして、各サービスへのログインを、トラスト・ログイン経由とすることで、ユーザーは「トラスト・ログインのパスワードだけ」1つ記憶しておけば、他のパスワードは忘れておいても問題なくなります。全てトラスト・ログインに記録されているためです。

トラスト・ログインを使うことは、「たくさんのパスワードを頑張って記憶する」から、「全て別々なパスワードに設定して、パスワード使い回しをなくし預ける。覚えておくパスワードは1つだけ」という発想の転換です。これにより、トラスト・ログインに預けるパスワードは使い回しをゼロにでき、リスト攻撃やパスワードスプレー攻撃を受けるリスクは皆無となります。

もし同じ社内で、Chromeの「パスワードの確認」表示される従業員が複数いる場合は危険です。一人の社員のID、パスワード情報の漏えいにより、会社の機密情報が大規模に漏えいする可能性があるためです。こうした事態を防ぐためにも、早急にトラスト・ログインをご評価頂き、パスワードの管理ならび使い回しゼロを実現頂ければと思います。

Chromeで「パスワードの確認」が表示されたら、今後高確率で攻撃されます

chrome_top.jpg

パソコンやスマートフォンからChromeブラウザを利用している方の一部は、インターネットサービスにログインした際に、このようなポップアップが最近よく表示されるとお気づきになっているかもしれません。

 chrome_popup.jpg

「パスワードの確認 サイトまたはアプリでのデータ侵害により、パスワード情報が漏洩しました。保存したパスワードを確認し、<ドメイン名> のパスワードを今すぐ変更することをおすすめします。」

このメッセージはどのような意味なのでしょうか。以下で解説します。

 

 

「パスワードの確認ポップアップ」=使い回しパスワードが漏えい

chrome_1.jpg

上記の「パスワードの確認」ポップアップの説明文をかみ砕いて説明すると、以下のようなことを意味しています。

  • 現在入力したID、パスワードと全く同じ組み合わせが、過去に別なサイトから漏えいしています。
    つまり、あなたは「複数のサイトで同じパスワードを使い回している」ことを意味します。
  • 漏えいしたID、パスワードの組み合わせは、グーグルが独自に入手したものを暗号化して、ユーザーに警鐘を鳴らす目的で使用しています。
  • 漏えいID、パスワードの組み合わせを持っているのは、グーグルだけではありません。世界中の悪意ある攻撃者が、不正アクセス目的で所持しています。
  • 今後、同じID、パスワードの組み合わせを使い続けると、使い回しパスワードを使用するサイトが不正アクセスされる可能性が非常に高いです。
  • 不正アクセスを受けると、個人情報の漏えいに加えて、クレジットカード情報の漏えいなど、金銭的な被害が生じる可能性もあります。
  • よって、今すぐパスワードを変更し、パスワードの使い回しをやめましょう。

端的に言うと、「同じパスワードをいつまでも使い回していると危険なので、早く変更しましょう。いつ攻撃されてもおかしくありません」というアドバイスです。

 

 

ID・パスワードの漏えいは過去に5億件以上

chrome_2.jpg

「まさか私のパスワードが漏えいしているはずがない。何かの間違いではないか」と思う方もいらっしゃるかもしれません。しかし、パスワードの漏えいは非常に一般的な出来事です。過去に漏えいしたログイン情報を収集し、情報セキュリティの啓蒙を行っている「Have I been pwned? (HIBP)」では、5億5000件以上の漏えいしたパスワード情報を保有しています。これはあくまで、HIBPが収集できた情報のみの合算となりますので、実際に漏えいしているパスワードはこの数字をはるかに上回るものになっている可能性が高いです。

実際、HIBPでは自身のメールアドレスを入れると、自分のパスワードが過去に漏えいしたかどうかを確認できます。筆者のメールアドレスからは「Adobe」「Dropbox」「不明な漏えい2件」が確認されました。

 chrome_hibp.png

Chromeで「パスワードの確認」ポップアップが表示された方も、表示されていない方も、HIBPで過去に漏えいが確認されていないかを確かめてみることをお勧めします。

 

 

パスワードの使い回しは「リスト攻撃」の格好のターゲットに

chrome_3.jpg

パスワードの使い回しが怖いのは、非常に一般的なサイバー攻撃の一つである「リスト攻撃」のターゲットとなり、不正アクセスを受ける確率が非常に高いということです。

例えばユーザーが、A、B、C、D、Eという5つのクラウドサービスを使っていたとします。そして、ハッカーの攻撃を受けたAサービスから、ユーザーのID、パスワードが漏えいした場合、ハッカーは同じIDとパスワードの組み合わせを使って、B、C、D、Eなどのクラウドサービスも攻撃していきます。

漏えいしたからといって、すぐに攻撃を受けるわけではありません。各サービスは、短時間に多くのアクセス試行が合った場合、不正アクセス試行と判断し、当該IPからのアクセスを遮断するため、攻撃者も慎重に攻撃を行います。例えば、リストを利用して「数十分に一度」不正アクセスを試みる、リスト攻撃の進化版とでもいうべき「パスワードスプレー攻撃」という手法が用いられる場合もあります。

もし過去にパスワードが漏えいしたにもかかわらず、現時点で被害が生じていなかったとしたら、たまたま運がよかっただけです。今日、明日にも不正アクセスを受けて、個人情報の漏えいや金銭の被害が生じる可能性もあるのです。

 

 

「トラスト・ログイン」を使い、パスワード使い回しを完全に終わらせる

chrome_4.jpg

パスワードの使い回しはやめよう、といっても、多くのユーザーはこのような感想を持つのではないでしょうか。

パスワードを使い回すな、といっても、利用しているサービスだけでも数十はある。これら全てに別々なパスワードを設定し、かつ記憶しておくのは無理だ。

そこで登場するのが「トラスト・ログイン」です。トラスト・ログインは、企業向けのクラウド型パスワード管理ツールです。まず、利用する全てのサービスのパスワードを、トラスト・ログインが責任を持って預かります。そして、各サービスへのログインを、トラスト・ログイン経由とすることで、ユーザーは「トラスト・ログインのパスワードだけ」1つ記憶しておけば、他のパスワードは忘れておいても問題なくなります。全てトラスト・ログインに記録されているためです。

トラスト・ログインを使うことは、「たくさんのパスワードを頑張って記憶する」から、「全て別々なパスワードに設定して、パスワード使い回しをなくし預ける。覚えておくパスワードは1つだけ」という発想の転換です。これにより、トラスト・ログインに預けるパスワードは使い回しをゼロにでき、リスト攻撃やパスワードスプレー攻撃を受けるリスクは皆無となります。

もし同じ社内で、Chromeの「パスワードの確認」表示される従業員が複数いる場合は危険です。一人の社員のID、パスワード情報の漏えいにより、会社の機密情報が大規模に漏えいする可能性があるためです。こうした事態を防ぐためにも、早急にトラスト・ログインをご評価頂き、パスワードの管理ならび使い回しゼロを実現頂ければと思います。