いつも通りログインして、wordpressをメンテしようとしたら、「たった今使用したパスワードがデータ侵害で検出されました」とポップアップが表示されました。
「えっもしかしてやばい?」
かなりビビっていましたが、調べてみると、警告が表示された場合、入力したパスワードが過去に他のサービスから漏洩したことがある可能性があることを示しているとのこと。
結論、過剰に心配する必要はなさそうだけど、パスワード変更などの安全策は盤石に対応することにしました。
Googleの「パスワード チェックアップ」という機能
Googleは「ネット上に流出してしまったパスワードのデータベース」を持っていて、Chrome上で入力したパスワードとデータベースを照らし合わせ「過去に流出したものと一致しているよ」と判断し、警告しているとのこと。
「パスワード チェックアップ」という機能で「ログインフォーム」などで自動入力したパスワードや、ユーザーが手動で入力したものをチェックしていて、Googleアカウントの保存済みパスワードに対しても確認しているんです。
なるほど、ウイルスチェックのようにパターンがデータベース化されていて、都度照合してるってことね。
って、まずそんな照合をされてたんだということにびっくり。安心感もあるけど、知らないとこでフォームに入力したものを照合されている怖さも同時に感じました。
考えられるリスクは?
- 流出したパスワードは、他人(ハッカー等)に知られている可能性が高い
- 同じパスワードを他のサービスでも使い回している場合、乗っ取りや不正ログインのリスクが非常に高い
どんな対策をすればいい?
警告が表示された場合は、速やかに対応することで、アカウントの不正アクセスや情報漏洩のリスクを軽減できます。
- パスワードをすぐ変更する
警告が出たサービスのログインパスワードを即変更しましょう。
できればランダムで長いもの(例:12文字以上+英数字記号混在) - 他サービスで同じパスワードを使っていたら変更
パスワードの「使い回し」は非常に危険
Chromeの「パスワードマネージャー」でチェック可能 - 二段階認証を有効に
対応しているサービスには必ず設定
パスワードだけでのログインより格段に安全性が上がる - Chrome「セーフティーチェック」機能
他にも危険なパスワードがないか確認可能
Chromeの設定メニュー > 「プライバシーとセキュリティ」 > 「セーフティ チェック」
自分のアカウントが漏洩しているわけではない?
気をつけたいのが、Chromeは、「過去に漏洩が確認されたパスワード」のリストをチェックしているだけで、警告がでたサービスから漏れた、ハッキングされたとは限らない点。
たとえば下記のようなパターンが考えられそうです。
昔登録してた別のサービス(例:古いSNS、通販サイト)から漏れたパスワードでそれを再利用している
簡単なパスワードすぎて過去に他の誰かが漏洩している
あくまでも今入力したパスワード(使っているパスワード)が漏洩リストに載ってるよってことで、悪意のあるハッカーが攻撃してきたら、漏洩していないパスワードより突破される可能性が高くなってしまうと考えておいて損はなさそうです。
新規アカウントと強固なパスワードで警告がでた
今回はwordpressの管理画面で警告が出たわけですが、
【新規に取得したメールアドレス+ランダムな20桁の強固なパスワード】
で警告がでたんです。
ログイン形跡も自分以外にないし、流石に漏れることはないでしょ、、、
ただそう思ってはいても、なんだかなぁと煮えきらない感じで気持ちはよくないですね。
考えられるとすると下記くらいかな。
ランダムでも、超偶然に「その文字列自体が漏洩リストに含まれていた」可能性
誤検知の可能性(キャッシュやJSを使ったフォーででることがあるそう)
僕みたいにモヤモヤしてる人や気になる人は、下記のサイトでも漏洩が確認できます。
email address と書いてあるけど、パスワードもチェックできるよう。
「過去に漏れたことあるか」どうかがチェックできます。
世界で乗っ取られたアカウント数は14,952,757,805だそうな。(2025.4現在)
ただし、これも100%でないので参考程度にしておいたほうが良さそう。
▼「メール・パスワード漏洩」 オンラインチェック
【Have I Been Pwned】
▼「個人情報の流出チェック」機能つきセキュリティソフト
【ウイルスバスタークラウド】
結論
冒頭にも書いた通りパスワードはしっかり変更しました。管理者アカウントだったし、万全の対応をします。
セキュリティはやりすぎくらいでちょうどいいので、漏洩チェックはもとより定期的なパスワード変更、2段階認証などもめんどくさがらずに。
今回でた警告も見直すいいきっかけになりました。