Chromeから警告「パスワードを変更してください」本当に注意すべきなのは?

先日、インターネットバンキングをしているときに、Chromeから以下のような警告が出ました。一瞬焦りましたが、冷静になって考え、検証した結果今回の、私の場合は問題ないと判断できたので、このブログでまとめたいと思います。

サイトまたはアプリでデータ侵害により、パスワード情報が漏洩しました。
[サイト名] のパスワードを今すぐ変更することをお勧めします。

この表示はウィルス感染やフィッシングではなく、Chromeのパスワード漏洩予測機能として追加されたものです。

参考:

https://security.googleblog.com/2019/12/better-password-protections-in-chrome.html

https://developers-jp.googleblog.com/2020/01/chrome.html

スポンサーリンク

これは何なのか?

ちょっとググると、「危ないのでパスワードをすぐに変更した方が良い」というような記事にあたります。私がこの警告を受けたのはワンタイムパスワードを送ったときです。本当に私の銀行口座のIDやパスワードが漏洩しているのでしょうか。そもそもChromeはどのような仕組みで、漏洩が検知されているのでしょうか。場合によってはIDとパスワードを盗み放題であることを示しています。興味がわいたので調べました。

漏洩検知の仕組み

参考に挙げているサイトが、2019年12月10日ごろに公開された、google 公式のブログです。これによると Google Chrome M79 以降こういった機能が追加されたようです。参考サイトから説明図の抜粋と意訳です。

  • Googleは漏洩したユーザー名とパスワードのハッシュ化と暗号化を行ったデータを、サーバー(漏洩リスト)に保管しています。

  • ユーザーがウェブサイトにログインすると、ログインに利用されたユーザー名とパスワードを、Chrome がハッシュ化と暗号化をして、Google に送ります。

  • Chrome から送られてきたユーザー名とパスワードの組み合わせが、「漏洩リスト」に含まれているかを照合します。

  • 照合の結果、ユーザー名とパスワードの組み合わせが「漏洩リスト」に含まれていると判断されると、Chrome はその旨を「パスワード情報の漏洩」として通知します。
ログインに利用するユーザ名やパスワードは、ハッシュ化と暗号化された状態で送信され、「漏洩リスト」と比較されるているため、元のパスワードは誰も(本人以外)知ることはできないようです。

私の場合は・・

ウェブサイトにログイン時に機能するというところから、私が警告を受け取ったタイミングとはズレています。私の場合は、振り込みをするためにワンタイムパスワードを打ち込んだ際に警告が出てきました。

何度試しても、ネットバンキングへのログインの時に警告が出でずに、ワンタイムパスワードを送る際に警告がたまに出るということは、おそらく、口座番号とログインパスワードの組み合わせは漏れておらず、ワンタイムパスワードを送る際の何らかのIDとキーの組み合わせが漏れていると判断できました。そのため、放っておいて大丈夫と判断しました。

今回、私の使っている銀行のワンタイムキーは、セキュリティーカードに記載されている文字を、サイトが指定する行列のうち、3文字送るタイプでかなりショボいワンタイムキーだったため、このようなことになったのだと推測します。ただ、この認証自体も古く、せめてカード新しくしてほしいなと思っていたことや、別の多要素認証はないのかなと探したところ、スマホ認証というのがあったので、スマホ認証に切り替えました。

本当に危ない場合は?

もし、ログイン直後にこの警告が出ている場合、ユーザー名とパスワードの組み合わせが、Googleが持っている「漏洩リスト」に載っていることになりますので、今ログインして警告が出たサイトだけではなく、そのユーザ名とパスワードの組み合わせでログインしているサイトは、すべてパスワードを変更するのが良いでしょう。