Chromeから「不正利用されたパスワード」が9件と指摘されました

こんにちは

最近、PCで使っているGoogleさんのChromeブラウザーから指摘が来る様になりました。

こんなのです。指摘されている接続先がローカルネットワークの物がほんとどなので、悠長にしてました。(^_^;

余り良くはありませんが、ローカルネットワーク内にあるWiFiルーター等の接続アカウントってネットワーク的に隔離されている事もあり、正直な所、結構使いまわしていますし、安易な文字列を設定してたりします。(^_^;

と言うか、WiFiルーター等は、まずは自宅のネットワーク内に侵入できないと使えません。

自宅のネットワークに接続されている時点で、WiFiルーターどころの話じゃ無くて、それ以前の問題です。って事で、まあ。。いいぁか。。ぐらいだったんですが、1つ、2つぐらい気になるのがあるような気もします。

と言う事で、今更ですが、これってなんなの?と確認してみます。

警告を出しているのは、Windows版のChromeブラウザです。

表示されている箇所を見ると、「自動入力」の中でした。

これって、Chromeブラウザを使って、どこかのサイトにログインする際に、ID/PASSをブラウザに記録してもらって、次回移行のログイン時には、自動で入力(表示)してくれる便利な機能です。

セキュリティー的な観点からは、本来使うべきではありませんが、Googleさんのセキュリティー強度を信頼して割り切って利用しています。これ。。駄目だったりパスワードがクリアテキストで漏洩!なんてなると、世界中で大騒ぎになりますよね。。(^_^;

で、表示されている文字列が「不正利用されたパスワード:9件」と表示されています。

なんかドキドキしますよね。表示されている接続先がローカルネットワーク内(自宅内)なので、実際に表示されている接続先に不正アクセスされたのでは無いだろう?と推測していましたが、実際に不正利用されてたら、真っ青です。(^_^;

で、実際にどうなんだろう?と思って調べてみました。

公式な情報は見つけられませんでしたが、どうやらGoogleさんって漏洩したパスワードリストを取得しているらしく、取得したIDとパスワードの組み合わせが、自動入力で保存されいいるIDとパスワードに一致したら警告してくれるみたいです。

その段階でも警告なので、実際に不正利用されたかは別の問題の様ですが、不正利用された可能性も十分あると思って良いかなと思います。

不正アクセスの手法の1つに、パスワードリスト攻撃という手法があります。

どっかで拾ったIDとパスワードは、どこかで利用されていた可能性があります。それをサイトAとします。

サイトAで利用されていた、IDとパスワードは他のサイトBやCでも再利用されている可能性が、総当たりするよりは断然高いです。実際に当事者がそういう事をしているとは限りませんが、世の中的には再利用しているユーザは多い様なので、不正アクセスする手段としては、他の手法よりも成功率が高そうです。

と言う事で、確実に使われた経緯がある、IDとパスワードの組み合わせは危険と思います。

と言う事で、これが出たら特に不特定多数がアクセスできる認証先の場合は、早めに変更した方が無難かと思います。

と言う事で、見ていきますが、ローカルネットワーク上の接続先でどうしても危険そうな物はないので、右側の青いボタンから削除しました。今後、保存しないようにしようと思います。消極的ですが。。(^_^;

指摘されている9件のうち、2件が気になりました。

1つは日経サイト、もう1つはmonacaと言うモバイルアプリの開発ツール(サイト)です。

日経のサイトは、確かに安易なパスワードを設定してました、不正利用されても余り困らなさそうですが、他の人(特に運営者)に迷惑がかかりそうなので、パスワードを変更しました。

開発ツールの方は。。真面目に設定しててパスワードの再利用はしていません。

この組み合わせで、漏れるって。。。(※パスワードは既に変更済み)

運営側から漏れたのでなければ。。自分のPCとかパスワード管理ツールから漏れたとしか。。(^_^;

メチャクチャ気になりますが、現状では自分の環境から漏れた感じがしないので、様子見しようと思います。

パスワード管理ソフトを使ってよいかどうかは正直微妙で、リスクの1つではあると思います。

ただ、管理している会社側でも復号キーがないとパスワードの復元はできないはずです。

なので、この複合キー(パスワード?)をPC内にメモしたりして漏洩する事自体を回避すれば、理論上は管理会社から登録データが漏洩しても問題ないとはずです。

なので、複合キーは私もメモはありません。忘れたらどうしよう?って不安があり、メモしたくなりますが、ぐっと我慢(笑)です。あと、現金を扱うオンラインバンキングなどの、2次キー等はパスワード管理ツールには入れてません。大丈夫とは思いつつも、やっぱり不安で、最後の砦にしてます。

と言う事で、一応指摘されているサイト及び、ID/PASSは対応しました。

みなさんも指摘されたら、内容を確認してリスクが有る場合には早めに対応された方が良いかなと思います。

ただ、Googleさんのいいわましはメチャクチャ不安になるので、もうちょっと考えても良さそうに思いますが、注意喚起と言う意味では、このぐらいの記載が良いのかも知れませんね。