PR

Safariからパスワード漏洩(侵害されたパスワード)の検出情報が届きました。

いつの間にこんな機能が・・・
Safariを立ち上げた際に表示される「スタートページ」(お気に入り、よく閲覧するサイトなどがまとまって表示される個人嗜好バレバレのページ)に突然こんな表示が一番上に表示されました。

Safari バージョン14.0.3 侵害されたパスワードの警告表示がどんな感じなのかがわかるイメージ

侵害されたパスワード
“ドメイン名”のあなたのパスワードはデータ漏洩で検出されたことがあるため、あなたのアカウントは危険にさらされています。Safariで、アカウントのセキュリティを再び保護するようにできます。

いつ頃からこの機能あるのか、機能名など分かりませんが、実際に体験してみて、
どこかのサイトで漏洩した事実情報をもとに、
キーチェーンに登録されているサイト等のアカウント、パスワードで一致した結果をSafariのスタートページでお知らせしてくれる機能っぽいです。

この表示、ちょっと何言ってんの?漏れちゃったって知らないんだけどと焦ります

「アカウントのセキュリティを再び保護」をクリック

実際にデータ漏洩が検出されたサイトを表示してくれます。
Safari(Apple)としては、登録したアカウント、またはパスワードを登録したサイトで修正してね!っていうことなんでしょう。

もし、自分で設定したパスワードなら超速攻で修正すべきですよ!
クレジットカードなどを登録しているサイトなら問い合わせした方がいいと思います。クレジットカードに身に覚えのない支払い等ないかもチェックした方がいいです。

侵害されたパスワード表示は「アカウントのセキュリティを再び保護」クリックで消えてしまいます。再び表示するには?

現状、方法が分かりませんでしたm(_ _)m。
一番怪しそうなSafariメニューのプライバシーレポートにはありませんでした。
同等機能がiOS(14.6で確認)に搭載されています。こちらには履歴が残っていました。iCloud同期を有効にしている方はiPhoneで確認できます。

mac野郎なのかは被害はあったの?

幸いなことに被害に遭っていませんでした。
「アカウントのセキュリティを再び保護」をクリックすると5、6年前?(もっと前かもしれません)に購入したソフトをダウンロードするサイトでした。

クレジットカードで支払いして、ダウンロードするためのURL、ID、パスワードがメールで送られてきて、そこにアクセスした際、Basic認証でログインするサイトの警告でした。
(Basic認証のIDパスワードはSafariの環境設定では表示できませんが、キーチェーンにしっかり記憶されています)
もう2度と使わないダウンロード専用の「侵害されたパスワード」でした。
そのため被害はありませんでした。

このサイトにはダウンロード後、ソフトを使うために違うID、パスワードを発行して使う仕組みです。ちょっと心配ですね。

iPhoneでも「侵害されたパスワード」通知が届きました

iphone-singaisareta-password-tuuti.jpg

いつの間にiPhoneでも通知が届くようになっていました。上記画面はiOS14.6のiPhoneのロック中画面のスクリーンショットです。macOSと違い、Safariではなく通知で届きます。この侵害されたパスワードの「通知」は設定でON/OFFすることができます。macOSもSafariの環境設定、パスワードからON/OFFできます。
通知をタップすると「セキュリティに関する勧告」画面が表示されます。この画面は設定→パスワードから再度開くことができます。

iphone-sekyuritexinikannsurukankoku-nagare.jpg

mac野郎なのかの勧告数は182件ありました。多い?この182件ある勧告は3種類にまとめられます。

  1. データ漏洩

    「このパスワードはデータ漏洩で検出されたことがあるため、このアカウントは危険に刺さらされています。パスワードを変更した方がよいでしょう。」

  2. 再利用されたパスワード

    「このパスワードは、その他のWebサイトで再利用されています。そのほかのアカウントが危険にさらされた場合、このアカウントに対する危険性も上昇します。

  3. 簡単に推測できるパスワード

    「このパスワードは多くの人に使われているので、簡単に推測できてしまいます。」(ちなみにmember、password、bbでした。簡単で短い、単語等が該当するようです)

組み合わせパターン(簡単に推測でき、再利用されたパスワード)も存在します。

iOSはmacOS同等のデータ漏洩検出機能が実装されていることがわかりました。

今回通知されたデータ漏洩も、サービスから提供された固定のユーザー名、パスワードでの漏洩でした。個人的には存在を削除するしかない、影響もないので何も処置していません。

上記図の優先順位:高の各通知内容を確認、データ漏洩かつ機微な情報を含むサイトで自分で設定したユーザー名、パスワード(ユーザー名、パスワード、最後に変更された日付等はタップすることでわかります)の場合、速攻修正したほうがいいです。iPhone上の機能では完結しません。登録したサイトにログインの上、パスワードの修正または退会操作等を行ってください

安心安全なパスワードを提供してくれるサービス

mac野郎なのかは、2つ(8桁、9桁)のコアとなる英数字をパスワードとして使い回すことが多いです。
8桁は、メールアドレス、ハンドル名の軽微な情報のサイトに使っています。
9桁は、クレジットカード、住所等を登録したサイトに使っています。そのまま使うのではなく、前後に数文字足して使っています。前後に足した文字によっては同じパスワードとなることがあります。言い訳ですね。

Safariが自動で提案してくれる強力なパスワード、これが全てで使えればいいんですが、登録する際のパスワード制限文字や長さではじかれることがあるので使えないことがあります。

パスワードを自分で考えるのも面倒、でも強固なパスワードが欲しい場合があります。このシーンで使えるサービスの1つは、Webで提供しているパスワード自動生成サービスです。
有名なパスワード管理アプリを提供している2社が安心安全かと思います(サイトで自動生成するだけならタダです)。

参考までに「Webページを開く」ショートカット(iOSの標準アプリの一つ)を作成して共有すると便利です。パスワードが必要となるシーンで共有マークからWebページを開くことができます。コピペして、完了操作で元の画面に戻れます(操作性的にここ重要ですよね)。最小限の手間で安心安全なパスワードを取得できますよ。
(サービス自体のショートカット版またはWeb API版提供してくれると嬉しいですよね。そうすれば、ショートコードでコピペの手間なく入力できたりします。ここを見た担当者様は是非ご検討いただけると幸いです)

まとめ

いきなり表示された驚きで記事にしました。
侵害されたパスワードの警告表示は、危険を知らせてくれる大変ありがたい機能だと感じています。
ブラウザは、Safari、Chrome、FireFox、Edge(知らない方もいるかもしれませんので、Mac版あります)などを利用しています。

お金に絡むものは、ほとんどSafariのプライベートブラウジングを利用して使っています。
キーチェーンアクセスで便利なSafariに重要なところは任せています。

来歴
2021.6.23 追記しました。
新規『iPhoneでも「侵害されたパスワード」通知が届きました
新規『安心安全なパスワードを提供してくれるサービス

タイトルとURLをコピーしました