先日、インターネットバンキングをしているときに、Chromeから以下のような警告が出ました。一瞬焦りましたが、冷静になって考え、検証した結果今回の、私の場合は問題ないと判断できたので、このブログでまとめたいと思います。
サイトまたはアプリでデータ侵害により、パスワード情報が漏洩しました。
[サイト名] のパスワードを今すぐ変更することをお勧めします。
参考:
https://security.googleblog.com/2019/12/better-password-protections-in-chrome.html
https://developers-jp.googleblog.com/2020/01/chrome.html
これは何なのか?
ちょっとググると、「危ないのでパスワードをすぐに変更した方が良い」というような記事にあたります。私がこの警告を受けたのはワンタイムパスワードを送ったときです。本当に私の銀行口座のIDやパスワードが漏洩しているのでしょうか。そもそもChromeはどのような仕組みで、漏洩が検知されているのでしょうか。場合によってはIDとパスワードを盗み放題であることを示しています。興味がわいたので調べました。
漏洩検知の仕組み
参考に挙げているサイトが、2019年12月10日ごろに公開された、google 公式のブログです。これによると Google Chrome M79 以降こういった機能が追加されたようです。参考サイトから説明図の抜粋と意訳です。
- Googleは漏洩したユーザー名とパスワードのハッシュ化と暗号化を行ったデータを、サーバー(漏洩リスト)に保管しています。
- ユーザーがウェブサイトにログインすると、ログインに利用されたユーザー名とパスワードを、Chrome がハッシュ化と暗号化をして、Google に送ります。
- Chrome から送られてきたユーザー名とパスワードの組み合わせが、「漏洩リスト」に含まれているかを照合します。
- 照合の結果、ユーザー名とパスワードの組み合わせが「漏洩リスト」に含まれていると判断されると、Chrome はその旨を「パスワード情報の漏洩」として通知します。
私の場合は・・
ウェブサイトにログイン時に機能するというところから、私が警告を受け取ったタイミングとはズレています。私の場合は、振り込みをするためにワンタイムパスワードを打ち込んだ際に警告が出てきました。
何度試しても、ネットバンキングへのログインの時に警告が出でずに、ワンタイムパスワードを送る際に警告がたまに出るということは、おそらく、口座番号とログインパスワードの組み合わせは漏れておらず、ワンタイムパスワードを送る際の何らかのIDとキーの組み合わせが漏れていると判断できました。そのため、放っておいて大丈夫と判断しました。
今回、私の使っている銀行のワンタイムキーは、セキュリティーカードに記載されている文字を、サイトが指定する行列のうち、3文字送るタイプでかなりショボいワンタイムキーだったため、このようなことになったのだと推測します。ただ、この認証自体も古く、せめてカード新しくしてほしいなと思っていたことや、別の多要素認証はないのかなと探したところ、スマホ認証というのがあったので、スマホ認証に切り替えました。
本当に危ない場合は?
もし、ログイン直後にこの警告が出ている場合、ユーザー名とパスワードの組み合わせが、Googleが持っている「漏洩リスト」に載っていることになりますので、今ログインして警告が出たサイトだけではなく、そのユーザ名とパスワードの組み合わせでログインしているサイトは、すべてパスワードを変更するのが良いでしょう。