【Google Chrome】拡張機能「Password Checkup」でパスワード漏えいに備える：Google Chrome完全ガイド

ネットサービスを使っていて怖いことの一つは、パスワードが第三者に漏えいすること。悪用される前に素早く対処するのに役立ちそうな拡張機能「Password Checkup」の使い方と注意点を説明します。

[島田広道，デジタルアドバンテージ]

連載目次

■記事内目次

• アカウント名／パスワードが漏えいしても気付けない!?
• Password Checkupとは？
• Password Checkupをインストールする
• Password Checkupの使い方
• Password Checkupではできないこと

アカウント名／パスワードが漏えいしても気付けない!?

　ネットサービスからログイン用のアカウント名とパスワードが漏えいした、というニュースを目にしたことはありませんか？

• 「宅ふぁいる便」不正アクセスで480万件のユーザー情報流出　メアド・パスワードも（ITmedia NEWS）
• 7億7300万件の流出情報、闇フォーラムで流通　平文パスワードも出回る（ITmediaエンタープライズ）

パスワード漏えいを検出できるChromeの拡張機能「Password Checkup」

　もし自分のアカウント名／パスワードの漏えいが明らかになった場合は、言うまでもなくパスワード変更などの対処を速やかに実施する必要があります。しかし、そもそも漏えいに気付くまでは、対処のしようがありません（予防措置は別として）。

　そしてユーザーが漏えいの事実を素早く把握するのは簡単ではありません。例えば上記のようなセキュリティ系ニュースをタイムリーにチェックできるとは限りません。またネットサービス運営元が漏えいについて電子メールやSNSで告知することはよくありますが、これも広告やプロモーションに紛れてしまって気付けない可能性はあるでしょう。

　本稿で紹介するGoogle Chrome（以下、Chromeと略）の拡張機能「Password Checkup」は、パスワード漏えいを素早くチェックするのに役立ちそうなツールです。本稿ではWindows OS／macOS版Chromeを対象として、その使い方や注意点について説明します。

Password Checkupとは？

　「Password Checkup」はGoogleが開発・提供している拡張機能の一つで、ユーザーがChrome上でネットサービスにログイン／サインインするのに利用したアカウント名／パスワードの漏えいを検知・警告してくれます。

　Googleは、漏えいなどによって危険だと分かっているアカウント名／パスワードの組み合わせを40億個以上、把握しているとのことです。Password Checkupはそうした危険なアカウント名／パスワードのリストと、ユーザーがログイン／サインイン時に入力したアカウント名／パスワードとを照合し、危険かどうか判定しています。

• Protect your accounts from data breaches with Password Checkup［英語］（Google Security Blog）

　こうした仕組みにより、Password CheckupはGoogleとは関係のない（Googleアカウント以外の）ネットサービスのアカウント名／パスワードでも、漏えいがないかチェックできます。

　こうしたパスワードチェック機能で気になるのは、ユーザーが入力したアカウント名／パスワードがPassword Checkupの提供元であるGoogleに「漏えい」してしまうのでは、という点でしょう。Googleによれば、そんなことがないようにプライバシー保護の技術を用いてPassword Checkupを設計したとのことです（強力なハッシュ化と暗号化を施してからGoogleのサーバに送信する、といった実装をしているそうです）。

Password Checkupをインストールする

　Password Checkupを利用するには、以下のChromeウェブストアの配布ページをChromeで開き、［Chromeに追加］ボタンをクリックします（一般的な拡張機能のインストール手順と変わりません）。

• 拡張機能「Password Checkup」の配布ページ（Chromeウェブストア）

Password CheckupをChromeにインストールする（1/2）

▼

Password CheckupをChromeにインストールする（2/2）

　インストールが完了すると、Chromeのウィンドウ右上にある拡張機能のツールバーにPassword Checkupのアイコン（緑色ベースの盾マーク）が追加されます。

インストールされたPassword Checkupのアイコン

Password Checkupの使い方

　Password Checkupの使い方は単純で、その拡張機能を有効にしたまま放置しておきます。Password CheckupはGoogleのサーバと通信しながら、ネットサービスのログイン／サインイン時に入力されたアカウント名／パスワードが過去に漏えいしたものと一致するかどうか、バックグラウンドで自動的にチェックします。

Password Checkupによるパスワード漏えいの検出状況の表示
ツールバーにあるPassword Checkupのアイコンをクリックしたとき、漏えい（データ侵害）が検知されていなければ、このようなダイアログが表示されます。

　もし一致したら、すなわち漏えいが確認されたら、Password Checkupはユーザーに赤色の警告ダイアログを表示します。それを受けたユーザーは、例えば以下のような対処を自身で実施する必要があります。

• 対象のアカウント名／パスワードを使っている全サイト／サービスでパスワードを変更
• （必要なら）登録していたクレジットカードの発行会社への利用停止依頼
• （必要なら）その他、情報漏えい（データ侵害）の影響を受ける組織や人への連絡

　

Password Checkupではできないこと

　Password Checkupはあくまでも危険性の検出とユーザーへの通知を目的とした拡張機能です。上記の通り、Password Checkupがパスワード変更などその後の対処まではしないことを覚えておきましょう。

　また原理的にChrome以外のブラウザあるいはアプリからのログインについては、チェックができません。一回もChromeでログインしたことがないアカウント名／パスワードについても同様です。さらに、Googleが保持しているアカウント名／パスワードの漏えいリストに載っていないものについては、たとえ漏えいしていても検出できないでしょう。

　他のツールと同様に、Password Checkupが全ての漏えいを検出してくれるわけではありません。頼り過ぎ・過信は禁物です。それでも、漏えい後の対処をなるべく早く始めるのに役立ちそうなツールといえるでしょう。

■関連リンク

• パスワードが安全ではないアカウントを保護する（Googleアカウントヘルプ）

「Google Chrome完全ガイド」