パスワードが漏洩!?パスワードの再設定と整理【Google chrome】

さて、今回はパスワードが流出したらしいので、パスワードのチェックやら再設定やら、整理した話です。年末だし、パソコンの中の掃除ですね。また、amazonの登録について、やらかしてしまったことの記録も残しておきます。

pass_01

パスワード流出

とある日の朝、ネットをチェックしていたところ、とあるページを訪れた時、ブラウザからポップアップが上がり、メッセージが。どうやら今使っているパスワードが流出したようです。

「Google Chrome」に漏洩パスワードのチェック機能が搭載 ~セキュリティ機能の強化を発表/フィッシング詐欺対策などを増強
 米Googleは12月10日(現地時間)、「Google Chrome」の強化されたセキュリティ機能について発表した。今後数週間をかけて徐々に展開されていくという。

12月10日から「Google chrome」に漏洩パスワードのチェック機能が搭載され、それが働いたみたいです。以下のようなメッセージが表示されました。

パスワードを変更してください。

サイトまたはアプリでのデータ侵害により、パスワード情報が漏洩しました。

XXX(サイトURL)のパスワードをすぐに変更することをおすすめします。

パスワードが漏洩?Chromeで「パスワードを変更して下さい。サイトまたはアプリでのデータ侵害により~」と警告ポップアップが出る理由について - おうちクエスト
ブラウザ GoogleChromeでセキュリティ機能が強化されました。WEBサイトのログイン時に利用するIDとパスワードが世間に漏洩していないかチェック、警告する機能です。実例で解説します。

どうやら利用したサイトから流出したわけでなく、「漏洩したIDとパスワードのリスト」と照らし合わせて判断しているようです。

トップの画像を見ていただけるとわかるように、この漏洩したパスワードをたくさんのサイトで利用していました。IDもパスワードも同じというのもあって、これは放っておくと大変なことになるかもしれません。まずアカウントの乗っ取りやクレジットの不正利用がないかを調べました。「不正使用されたパスワード」の3件は調べたところ、とりあえずは大丈夫そうです。

以前からパスワードに関しては、どうにかしなければと思っていたので、これを機会にパスワードを変更するとともに、アカウントの整理も行うことにしました。

IDとパスワードの整理

まずはどこのサイトにどのID・パスワードを使ったか調べるところから始めます。私はID・パスワード管理に関してはブラウザに任せっぱなしです。「Google chrome」設定から、パスワードを選びます。なお、画面はバージョン: 79.0.3945.88のものです。

pass_02

保存されているサイト、ID、パスワードが表示されます。

pass_03

パスワードを見るには目のマークを押すと、Windowsのパスワード入力が求められますが、それを入力すると見ることが出来ます。ただ、すべてを確認していくのは面倒なので、パスワードをダウンロードすることにします。

pass_04

「保存したパスワード」横にある「︙」を押すとパスワードのエクスポートが出来ます。「Chrome パスワード.csv」というファイルがダウンロードできますので、これをエクセルなどで開けば、chromeに保存されているサイト名、URL、ID、パスワードがすべて見られます。なお、このファイルが流出してしまうとすべてのパスワードが知られてしまうことになるので、慎重に取り扱うようにしましょう。

このファイルを見て、変更するサイトに訪れ、一つ一つパスワードの変更をしていくわけです。

パスワードの再設定

今回パスワードを再設定していくにあたり、ID管理ソフトを使うことにしました。

窓の杜
「ID Manager」IDとパスワードの組み合わせをまとめて管理

ずいぶん昔からあるID管理ソフトです。Windowsしか対応していませんし、クラウドを経由してandroidなどで共有も出来ません。基本的にID・パスワードはchromeに保存して使うので、連携はそちらで。このソフトは万が一何かあった時用に管理するためのものにします。

このソフトに登録していくことによって、どれを設定したかはっきりさせることが出来ます。また、新たに設定するパスワードは、ランダムに発生させるため、このソフトのパスワード自動生成機能を使います。

一番大事なパスワードはWindowsとGoogleのパスワード。この2つのパスワードは常に入力できるように、覚えやすくて推測されにくいものを作成します。今回漏洩したパスワードも、覚えやすく推測されにくい、しっかりしたパスワードでした。せっかくよく出来たパスワードでしたが、サーバーなどから流出したのであれば、どうしようもないですね。

この2つとID管理ソフトのパスワードは、自分で考えた別々のパスワードを設定。自作パスワードのポイントは3つ。

1つ目はパスワードの桁数で、最低12桁。記号などを含めるよりも、桁数を増やす方が安全ともいわれています。2つ目は日本語をローマ字に変換すること。外国人犯罪者に推測されにくいので有効です。3つ目は推測されにくいフレーズを使うこと。

昔からいわれている、1234…やqwer…、生年月日や車のナンバーなど、推測されやすいものはNGです。日本語をローマ字にした上で、英字を数字に置き換えたりすると良いそうです。「イシケタ」→「14keta」みたいな感じですね。

できあがったパスワードは、パスワードチェックサイトで強度のチェックをしておくと良いです。

Kaspersky: Secure Password Check
パスワードは賢く選びたいもの。どんなパスワードなら強度が十分か、このWebサイトで試してみましょう。

今まで使っていた10桁のパスワードは、一般用PCで4年で解読されるそうです。今度作ったのは12桁のパスワードで24年だったので、ひと桁増やしておきました。それだと8世紀は解読されなさそうです。

WindowsとGoogleと管理ソフトのパスワードを設定したら、後は一つ一つサイトに訪れ、パスワードの変更をしていきます。パスワードを変更した際は、chromeのパスワード更新も忘れないように。

これらのパスワードはID管理ソフトのパスワード自動生成機能を使って作成しました。基本は英小文字と数字の16桁で作成。記号はサイトによって使えたり使えなかったりなので、使用しません。また、パスワードの文字数に8桁とか10桁の制限がある場合はそれに対応させました。なかなか面倒な作業でしたが、全部で37サイト分、すべて違うパスワードで設定しました。

消滅サイト・使わないサイトのパスワード削除

chromeに登録されているサイトでも、消滅してしまったサイトの情報は消してしまいます。無くなったサイトの情報を残しておく必要はないですので。この場合はパスワード横の「︙」から削除を選べば消すことが出来ます。

pass_05

問題は使わなくなったサイトです。そのままにしておいても良いのですが、なんだかすっきりしないので、この際と思い整理することにしました。chromeから情報を消すだけでなく、サイト自体の登録を解除しなければなりません。

例えば一度だけしか利用したことのないお店のサイト。昔は個別のお店に登録して購入していました。今はamazonや楽天を使えば、登録を個別にしなくても良いので、出来るだけそれらを使っています。

個別のお店サイトに訪れてアカウント削除を。サイト上で削除できるところもあれば、メールを送らないとダメなところも。これらは面倒ですが、一つ一つ削除していきました。データの断捨離ですね。

でも、アカウント削除が出来ないサイトもありました。以前加入していたソニー損保は、登録情報の削除が出来ないとのことです。今回削除できなかったのは、こちらのサイトだけでした。住所やカード情報も登録したので、本当は削除して欲しいのですが、メールを送っても不可とのことでした。パスワードを変更して、登録はそのままです。

そして、もうひとつ大変なことをしてしまいました。

Amazonアカウント停止!

amazon.comの登録があったので、これもアカウント削除してしまえと。アメリカのサイトを利用したことはないのですが、以前登録だけはしたような。このアカウント削除がすべて英語なので、ちょっと大変。

Amazon.comのアカウントを削除するボタンは無い!アカウントを閉鎖する方法 - アクシグ
Amazon.comのアカウントを閉鎖するには、運営に問い合わせるしか方法がありません。また、アカウントを閉鎖すると、注文がキャンセルされたりポイントを失うなどのデメリットがあります。 今回はAmazon.comのアカウ …

こちらのサイトを参考に削除依頼したのですが、翌日大変なことが発生しました。

amazon.comのアカウントを削除したかっただけなのですが、amazon.co.jpのアカウントまで停止されてしまったのです(削除という言葉でなく、停止されていますというメッセージでした)。これにはびっくり。

今までのamazonで購入した履歴やブログで使っているアフィリエイトなどなど、全部が使えなくなってしまいました。あわてて削除確認メールに返信する形で、「amazon.comの削除を依頼したが、amazon.co.jpのアカウント削除を依頼していない」旨を書いて送ります。amazonのカスタマーセンターは登録がないと対応してくれませんので、この方法しか選択がありませんでした。

しかし、amazonのヘルプを読んでいると、1度削除したアカウントは復活できないと書かれていました。これはもうダメだとあきらめ、新しいアカウントを登録、住所やカード情報を登録し、アフィリエイトももう一度申し込みました。アフィリエイトの審査には少し時間がかかります。

余計なことしてしまったなぁと反省するばかり。特にアフィリエイトは売り上げがたっているのに未入金のものがあるので、それなりの損失です。

しばらく落ち込んでいたのですが、数時間後、amazon.co.jpからメールが来て、アカウントが復活されました。これは本当にうれしかった。しかし、アカウント停止の後、同じメールアドレスで新規に登録しています。この辺はどうなるのか、よくわかりません。もう少し冷静になって、amazonからの返答を待っていれば良かったとも思いました。とりあえずアカウント停止以前のID・パスワードですべての機能が使えています。

アカウントは復活したものの、amazonのウィッシュリストや登録住所、カード情報などは消えていたので、改めて登録しました。ウィッシュリストがなくなったのがちょっと痛い。気になっているものをたくさん登録していましたので。今後ぼちぼちリストを作り直していくことにします。

amazon.comとamazon.co.jpが連動していると思っていなかったので、こんなことになってしまいました。アカウント整理の際はどこでつながっているかわからないので、よく確認する必要がありますね。今回の一番の教訓です。

まとめ

消滅したサイトや使わないサイトに関しては、ブックマークからも削除もしました。そしてあわせて、ブックマークの整理もしておきました。具体的には、いらないものは消して、カテゴリを再構築してのカテゴリ分けです。

パスワード漏洩から始まった今回の処置で、パスワードのみならず、サイトやブックマークまで整理できました。chromeにパスワード登録をするのは良くないという人もいるようですが、利便性を考えると仕方がありません。出来るだけのことはしておいて、万が一のことがあったら仕方がないとあきらめるしかありませんね。