Googleパスワードマネージャー チェックアップ様のお陰で大事なパスワードの漏洩が発覚した話
わたしはインターネット関連の仕事に就いており、主な業務としてウェブサイトの制作をしている。
ウェブサイトの制作過程では「それほど重要ではないが形だけパスワードをかけておきたい」というシチュエーションが頻繁にあり、そんな時には「password」とか「aaaaaaa」「bbbbbbb」とか「admin」「user」などの簡単な文字列が重宝する。セキュリティ的には無に等しい文字列だが、そもそも形だけのパスワードなわけだからこれで十分なのだ。そしていくら簡単と言えどもすべて覚えてはいられないので、結局はGoogleパスワードマネージャーに保存されていくことになる。
これらの文字列は当然誰もが知るところであるし、悪い人たちの漏洩パスワードリスト1ページ目にある「最も頭の悪いパスワード」の項にも記載されていることだろう。なのでこんな簡単パスワードを大量に保存されてしまった悲しきGoogleパスワードマネージャーとしては漏洩アラートを出さないわけにはいかないわけで、こちらとしては煩いなぁもう十分わかってるよということになる。
そんなわけで数日前にきたアラートもどうせいつものやつだろうと放置していたのだが、昨日なんとなく開いてみてビックリ。漏洩していたのはわたしが古くからメインで使っている大事なパスワードだったのだ。
パスワードの使いまわしはやめて今すぐ複雑なパスワードをアカウント毎に変えて設定した方がいい!絶対!

上述した簡単パスワードのこともあるので78件のアラート全てが問題になるものではないが、それでもおよそ半数はヤバいやつだった。
そもそも「メインで使っていた」という表現がわたしの古い感性を象徴しているようじゃないか。今やアカウント毎にパスワードを変えて管理するというのが当たり前だというのにねぇ…メインて。しかもさ、アカウント登録に使うEメールアドレスとパスワードがほとんど一緒なのよ。例えて言うと【Eメール:address-2026@address.com】【パスワード:address2026】みたいな感じ。逆によく今までバレなかったもんだ。
そしてパスワードマネージャー様のいうことには、このEメールアドレスとパスワードがセットで漏洩しているとのこと。だから早く変えろって。冷や汗と動悸が止まらねぇぜ!!
件のパスワードを使っている全てのアカウントを修正
こうなれば一刻も早くそのパスワードを使っていた全てのアカウントを巡回し、変更していくしかない。
まずやったのは巡回すべきサイトのリストアップだ。Googleパスワードマネージャーではそこにパスワードを保存してあるサイトのことしかわからないので、自分が一応メモとして取っておいたドキュメントと突き合わせて、漏洩した文字列がログインパスワードとして使われていた全てのアカウントを洗い出す。

続いては巡回する優先順位。何はなくともクレジット情報が登録されているアカウントは見つけ次第ほかの作業を中断してパスワードを変えた。次にお金を出して購入したソフトを管理している音楽関係のサイト、次に個人情報を載せているであろうサイト…というようにプライオリティを決めていき、最後はただサービスを使うためだけにメールアドレスとパスワードだけを登録してあるアカウントを回る順序になる。
パスワードの変え方2種
決めた順序に従ってアカウント情報を変更していくと、パスワードの変え方についてはどのサイトでも大きく分けて2種類あることがわかった。
1つ目はアカウントにログインして「会員情報」もしくは「アカウント情報」などのページから直接変える方法。ただこれはサイトによってリンクの場所や名称が違っていて、余計な時間を食ってしまったこともままあった。
おススメなのは2つ目の、ログインページに設置してある「パスワードを忘れてしまった場合」「Forgot your password?」などのリンクを使うやり方で、こちらの方がわかりやすい場合が多かった。件のリンクをクリックすると大抵の場合Eメールアドレスを入力する画面になり、そこにアカウント登録したEメールを入力してやるとそのアドレスにパスワード再設定用のメールが届く。メールに記載されたURLをクリックするとパスワード再設定ページにジャンプするので、あとは指示通りに新しいパスワードを設定してやればOKだ。

事の顛末
結局、作業には丸2日間もかかってしまった。
一番恐れていたクレジットカード関係だが、わたしがクレジット情報を保存していたのはかなり大手の企業サイト2つだけで、いずれのアカウントも不正ログインできたとてクレジット情報が抜き取れるような造りにはなっていなかった。これがわかった瞬間へなへな…っと力が抜けてしまったのは言うまでもない。
音楽関係のサイトなど重要なアカウントにも改竄の形跡はなかったし、サービスを使うための適当アカウントならなおさらだ。例の文字列を使っていたほとんど全てのアカウントをチェックしてパス変更したが、結局何の被害も出ていなかったのである。…じゃあ逆にどういう経緯で漏れてどう使われていたんだろうね?ねぇGoogleさん?何年か寿命が縮んじゃったけどその分はお金で返してくださるのかしら?…なんて逆恨みするのはよそう。だって今回ばかりはGoogleさんが教えてくれなきゃ後々大変なことになっていたかもしれないのだから。わたしの寿命が減った程度の被害で済んで本当によかったと思わねばなるまい。
修正すべきパスワードは全て修正し、ついでに気にする必要のない簡単パスワードについてのアラートも整理して全ては終了だ。

使いまわしているパスワードや脆弱なパスワードについても時間を見つけて少しづつ直していこうと思う…なぁぁんて一週間もすれば何事もなかったように忘れちゃいそうだけど。
Googleパスワード チェックアップで今すぐ確認した方がいい
当記事を読みながら冷たい汗が脇を伝ってきた貴方はこの機会にぜひ一度見ておくことをお勧めする。もちろんGoogle Chromeのパスワードマネージャー機能を使っているなら、だが。
参考ページGoogleパスワードマネージャー
上のリンクをクリックするとGoogleパスワードマネージャーのトップ画面にジャンプする。そうしたら画面上方にある「パスワード チェックアップに移動」リンクをクリックしよう。


「パスワードを確認」をクリックすると本人確認を挟んでパスワードチェックアップ画面に遷移する。


それぞれのアコースティックメニューを開くと各サイトのステータスが表示されるので、それにしたがって処理をしていく流れだ。

まずパスワードを表示してみて、気にしなくてよいアラートなら警告を閉じる。そもそも必要のないパスワードなら削除する。大切なパスワードなら変更する。終わったら次のサイトをチェックして…という感じ。
今回のことを教訓に、今後は折に触れてチェックしてみようと思っている。