今やビジネスにはもちろん、私生活でも欠かせないGoogleが提供するGmail。
私も毎日どっぷりと使っているのですが、そんなGmailについ先日「重大なセキュリティ通知」という物騒な件名のメールが届きました…
本ページではGmailに届いた「重大なセキュリティ通知」メールの概要と、どのような対処をしたら良いのか、またこのメールが届いた原因はなんなのか、等をまとめています。
「重大なセキュリティ通知」メールが届く
2022年9月初め、Gmailの受信トレイに「重大なセキュリティ通知」という件名のメールが届きました。
ちらっと見えるメール内容には「保存したパスワードの一部がウェブ上に漏洩しました」という文章が…
こちらがメールの本文です。
メールを見たときは
迷惑メールかな?ボタンをクリックしたらフィッシングサイトに飛ばされるやつ?
などと考えましたが、メールの送信元やリンク先をチェックしても、どうやら本物っぽい。
軽く「保存したパスワードの一部がウェブ上に漏洩しました」というワードをGoogle検索やSNSで調べてみると、過去にもこのようなメールがGoogle公式から届いたという報告がちらほら…
というわけでこのメールが来た時の対処法を調べてみることに。
どのサイトの、どんなパスワードが漏れたのか確認しよう
まずは「保存したパスワードの一部がウェブ上に漏洩しました」とあるので、どんなパスワードが流出したのか確認をしましょう。
「重大なセキュリティ通知」のメールを開いて、「パスワードを確認」を押すと…
「パスワードチェックアップ」という画面が表示されます。
色々と説明が書いていますが、私の場合は
- Googleアカウントのパスワードは漏れていない
- 他のサイトのパスワードが漏れた
- すぐに保存したパスワードを保護(変更等)してほしい
という内容が書かれていました。
なので「パスワードを確認」というボタンを押すと…
Googleアカウントの本人確認が求められますので、こちらを突破します。
次にパスワードチェックアップ画面が表示されます。
このツールはGoogleアカウントに保存しているパスワードの脆弱性等を診断してくれるもので、今回は赤いビックリマークが付いているのが「漏洩した可能性のあるパスワード」になります。
使い回しパスワードや、強度がイマイチなパスワードも教えてくれたので、これを機会に見直しました。
次に右側のアイコンを選択すると…
左下には漏洩した可能性のある「サイトのURL」と「ID」が表示されます。
漏洩した可能性のあるパスワードを確認するには、右側の3つの点のアイコンを選択して…
表示されるメニューの「パスワードを表示」を選択します。
これでようやく漏洩したパスワードがなんだったのか、確認ができます。
以下ではこのあとの対処法についてまとめています。
対処法
今回の警告に対する対処法は大きく分けて
- 警告を無視する
- パスワードを変更する
の2つがあります。
警告を無視する
1つ目の対処は「警告を無視する」という方法です。
パスワードが漏洩している可能性があるのに無視して大丈夫なの?
と思われる人もいるかと思いますが、大丈夫なパターンもあるんです。
今回私に届いた警告もこれに当てはまったのですが、一部のサイト(サービス)では同じIDとパスワードを不特定多数に配布しているケースがあります。
例えばTwitterではこのような事例が見つかりました。
Googleが「保存したパスワードの一部がウェブ上に漏洩しました」って教えてくれたので、何が漏洩したんだろうと思って設定を見に行ったら、何年か前のFATF年次報告書提出用のパスワードで草。弁護士会全体で共有してるとそりゃ漏洩リスク高いだろうね
— もけもけ (@tak_sh) September 6, 2022
沈黙のWebライティング、沈黙のWebマーケティングの読者さまへお知らせです。
— 赤木はるな(株式会社ウェブライダー) (@Harucha_wr) September 5, 2022
読者限定ページのパスワードをChromeに保存していた場合、「保存したパスワードの一部がウェブ上に漏洩しました」という通知が届くことがありますが、読者共通のIDとパスワードに関する通知ですので、ご放念ください。
私の場合も、とあるサイトで希望者がだれでも見れる情報リストの、ダウンロード用IDとパスワードだったため、それが漏洩したところで全く問題がないものでした。
というわけでこのパターンに該当する場合は
- パスワードを削除(Googleアカウントでこのパスワードを保存するのをやめる)
- 警告を閉じる(警告を確認済みとする)
のどちらかを選びましょう。
私は今回、「警告を閉じる」のほうを選択しました。
閉じると「閉じた警告」という項目が表示され、過去の警告をいつでも確認・復元することが出来ます。
パスワードを変更する
漏洩した可能性のあるパスワードを確認した結果、「これは漏れたら大変だ…」というものだった場合、直ちにパスワードを変更しましょう。
赤枠のボタンをクリックすると該当サイトへ遷移しますので、そちらで変更作業を行いましょう。
また合わせて
- ログインIDが変更できる場合は変更する
- 漏洩したパスワードを使い回していないか確認をする
の2点もチェックし、もし該当するのであれば速やかに対処しましょう。
なぜメールが届いた?原因は?
「保存したパスワードの一部がウェブ上に漏洩しました」というメールは以前からちょこちょこ配信されていたようですが、ネット上の反応を見てみると2022年9月2日~4日にかけて大量に配信がされたようです。
理由は定かではありませんが、セキュリティのハードルを下げた結果、大量配信に繋がった、等が考えられます。
また過去にも同様に大量配信がされたこともあるようです。
またこのメールが届く主な原因は、あくまでも個人的にリサーチした結果ではありますが
- とあるサイト・企業からのパスワード流出に巻き込まれた
- 共通で配布されているパスワードを保存していた
の2ケースに当てはまることがほとんどのようです。
1番の「パスワード流出に巻き込まれた」という場合には実害が及ぶ可能性があるので、速やかに行動をしましょう。
例えば本記事作成時点の直近では、ディスクユニオンの70万件流出があり、この影響で本記事のメールが届いた人が複数人いるようです。
迷惑メール・フィッシングメールの可能性も
このように、「保存したパスワードの一部がウェブ上に漏洩しました」と書かれたメールでは、多くの場合は迷惑メール・フィッシング詐欺ではありません。
しかしこのメールの真似をした詐欺メールが出てくる可能性はありますので、不安な人はご自身でパスワードチェックアップページへ遷移するのがオススメです。
具体的にはGoogle検索等で「パスワードチェックアップ」と検索して…1番上に表示される「Google パスワードマネージャー」を選択します(検索順位は変わる可能性があります)。
こちらのページの「パスワードチェックアップに移動」から遷移することで、メールを経由せずに警告の内容が確認できます。
Googleアカウントを乗っ取られると影響が凄まじいので、これくらいの用心深さを持っておいても良さそうです。
おわりに
Googleから送られてきた「重大なセキュリティ通知 保存したパスワードの一部がウェブ上に漏洩しました」というメールが届く問題。
一見フィッシング詐欺に見えるようなメールですが、多くの場合は本物で、人によっては早急な対応が求められる超重要なメールです。
ただし新手のフィッシング詐欺に利用される可能性もありますので、メール内のボタンを押さずに、検索等で「パスワードチェックアップ」画面にたどり着いたほうがより安全かもしれません。
コメント