Google ChromeのVER79(2020年12月19日時点の最新版)から、
「パスワードがどこかで流出した場合、警告してくれる機能」が追加されました。
(設定でオンオフは可能です)
「サイトまたはアプリでのデータ侵害により、パスワード情報が漏洩しました。保存したパスワードをすぐに確認することをおすすめします」という文字なので、「ウィルス?マルウェア?フィッシング?詐欺?」など驚いてしまうかもしれません。
これはChromeの正式な機能ですが、「IDかメールアドレスとパスワードの組み合わせがどこかで漏洩したものであること」は間違いありません。
パスワード変更・2段階認証・パスワード生成ソフトなどの対策をぜひ行ってください。
段階を追って、対処の手順を説明します。
「サイトまたはアプリでのデータ侵害により、パスワード情報が漏洩しました。保存したパスワードをすぐに確認することをおすすめします」というメッセージ
Chromeに登録したパスワードが流出すると、Chrome利用時に、このような画面が突然出てくることがあります。
前述の通り、何かの不正な動作かと驚かれるかもしれません。
これ自体は、Google chromeの正常なセキュリティ機能の動作です。
ここで、「パスワードを確認」ボタンを押すと、
^
という画面が出てきます。
さらに、Googleアカウントのパスワード入力を求める画面が出てきます。
・・・・フィッシング?
と疑ってしまいますが、フィッシングではありません。
と、漏洩しているパスワード、安全ではないパスワードなどを教えてくれます。
ちなみに、各社・もしくは様々なルートでパスワード流出が確認された状況は、こちらでも確認できます・・・
(日本のサイトなどでも紹介され、セキュリティ研究者のTroy Hunt(トロイ・ハント)氏が運営しているサイトだそうです。自己責任でご使用ください。また、当サイトでは1passwordの使用や二段階認証、パスワードの変更を勧めています)
上記の機能は、Chrome79より本格的に導入された機能のようで、ITMediaにも紹介されています。
Chromeの設定画面にも、下記の上から2番目のように、「データ侵害によりパスワードが漏洩した場合に警告する」という表示があります。
この表示が出てくるサイトについては、様々なサイトでのパスワード流出被害があったものと同じID・パスワードということです。取り急ぎログイン・パスワードの変更や利用しない場合は退会することをおすすめします。
また、パスワードの管理には、1passwordなどのPC・スマホ両対応のソフトウェアを利用することが望ましいです。
そして、前掲のASCII×ESETのサイトではこう書かれています。
(ESETの提供しているソフトはこちら)
サイバー犯罪者が手にした情報で何を企んでいるかについて、常に注意が欠かせない。その前提で、最後にひとつだけアドバイスをしておきたい。サイバー犯罪者がユーザーのパスワードを知っていると脅し、金銭を要求するメールを受信した場合、慎重に行動すべきである。(中略)この場合、受け取ったメールのメッセージ内(件名か本文の最初の数行)には自分のパスワードが記載され、多額の支払いを要求していることがわかっている。
というふうに、パスワードを知っているから金払え、○○しろという要求の英語メールが送られてくることもありますが、絶対無視するようにしてください。
文例としては、こういうケースの類いが多いです。
迷惑メール文面例
タイトル:不正アクティビティ検出:いつもとは異なるブラウザーからのログインを検出!
このたび、お客様のアカウントに極めてリスクの高いデバイスまたは場所からお客様のアカウントに対するログインが複数回試みられ、安全のためお客様のAmazonアカウントはpoblco現在セキュリティシステムによって一時的に停止されています。
ログイン日時: 2021/05/29
IPアドレス: 49.98.89.104
装備: Android 10,HTML, like Gecko
場所:Osaka
問題を解決するために下記より至急パスワードの変更と登録情報の更新を行ってください
こういう類いのメールは、不正メールである可能性が極めて高く、基本的に「対応しないこと」が対処方法です。
他の文面例もリンクしておきます。
その他セキュリティ関連記事です。
また、パスワードなど個人情報が漏れた際の対処法(できる部分とどうにもならない部分があります)の記事を追加しました。
金融機関の二段階認証を、意外な方法で破る手口発生。二段階認証を過信せず注意
マルウェアEmotet(エモテット)+ZeroCleareに関するセキュリティソフトの対応状況を各社サポートに聞いてみた
