パスワード管理

iPhoneで「パスワードはデータ漏えいで検出されたことがあるため、危険にさらされています」って表示されたときはどうしたらいい?

私は普段iPhoneを使っているのですが、先日同じくiPhoneユーザーの友達にこんなこと聞かれました。

iPhone使ってたらパスワードが漏洩しています!って表示が出た!なにこれ!?ハッキングされた?!?!どうしたらいいの?

お…おちついて

スクリーンショットを送ってもらったところ、こんな表示がでているようでした。

このパスワードはデータ漏えいで検出されたことがあるため、このアカウントは危険にさらされています。パスワードはすぐに変更したほうがよいでしょう。

スマホと使っているとよく「ハッキングされています」みたいなことを
わざと表示される詐欺サイトがあったりしますが、今回は違います。
何が違うのか?どうしたらいいのか?を解説していきたいと思います。

こんな悩みに役立つ
  • iPhoneを使ってたら「パスワードはデータ漏洩で検出されたことがある」って表示が出てびっくりしている
  • ウイルスが入ったかも?ハッキングされたかも?と不安になっている
  • 結局どう対応したらいいのかわからない

iPhoneの新機能でお知らせされているだけなので何の心配もありません

結論から言うと、そのメッセージはiPhoneの機能で表示されているだけです。

え?ハッキングじゃないの?

このままだと危険性があるよってお知らせしてくれてるんだよ

この表示が出る人は、おそらくiCloudキーチェーンにパスワードを保存していると思います。
去年の秋にiOS(iPhoneの基本ソフト)が新しくなってパスワードの監視機能がつきました

https://www.apple.com/jp/ios/ios-14/features/

パスワードの監視
Safariはあなたが保存したパスワードを安全な状態で監視し、データの漏えいで侵害された可能性があるパスワードを自動的に調べます。強固な暗号化技術を使い、侵害されたパスワードのリストに対してあなたのパスワードの導出値を定期的にチェック。これはプライバシーを守る安全な手法で行われるため、あなたのパスワード情報はAppleも知ることができません。漏えいが検出された場合は、可能であれば「Appleでサインイン」へのアップグレードをサポートします。または、新しい安全なパスワードを自動的に生成します。

iOS 14 – 特徴

ええ…パスワードが自動入力されるから便利だと思って使っていたけど…監視されてるの?

Appleからあなたのパスワードが見える状態になっている訳ではないから、そういう心配はいらないよ

不正アクセスを防ぐためにパスワードを監視している?

なんのためにAppleはパスワードを監視してるの?意味がわかんないんだけど。ちょっと怖いし…

不正アクセスを防ぐためだよ

パスワードを使い回していませんか?

「パスワードを使い回ししちゃいけない」ってよく言われますよね。
それはなぜかというと、よく使われるパスワードや
どこかのサイトで漏えいしたパスワードを悪用して別のサイトを攻撃する
「リスト型攻撃」というサイバー攻撃の手法があるからです。

実は、よくあるパスワードや漏えいしたパスワードは
インターネットに公開されている
ことがあります。

たとえば、イギリスの英国家サイバーセキュリティセンター(NCSC)が
よくあるパスワード100,000個を注意喚起のためにブログで公開しています。

https://www.ncsc.gov.uk/blog-post/passwords-passwords-everywhere

公開されているパスワードの一部を抜粋します。
playstationとかちょっと日本っぽいものもありますね。

(前略)

jojo123
1976
playstation
mauricio
gemini1
marijuana
justinbieber
lovelove1
twister
anamaria
daniel12
moloko

(後略)

PwnedPasswordsTop100k.txt

攻撃者は、このようなインターネットに公開されたパスワードと同じものを悪用します。

すごく簡単に言うと、順番に試していくってだけなんだけどね

リスト型攻撃はとてもよくある攻撃で
たくさんのサイトが被害に遭っています。

次に、どのサイトが狙われるかはわかりませんし
私達がいつも使っているサイトも、攻撃を受けるかもしれません。

なので、Appleのような利用者を守る側の会社も
よくあるパスワードや漏えいしたパスワードをあつめてリストにして
危険があると判断した利用者には
事前にお知らせをしてくれる
、というわけです。

リスト型攻撃について詳しくはこちらの記事をどうぞ

事前にお知らせしてくれたことに感謝してパスワードを変えよう

通知があったらどうすれば良いの?

事前にお知らせをしてくれたことに感謝して
ちょっと手間ですが全部パスワードを変えましょう。

えーたくさんあるのにそんなに急に無理ー

優先順位をつけて対応するといいかもしれないね

優先順位を確認する方法

iPhoneで
設定 > パスワード > セキュリティに関する勧告
を開くと、変更の優先順位(危険性)が高いと判断されているパスワードが上の方に表示されます。

優先順位が高いものの中で、情報が漏えいしたら困るサイト
例えば、銀行やショッピングサイト、個人的な日記が書いてあるサイトや
乗っ取られたときのダメージが大きいサイト、
普段よく使っているSNSなどを優先して変更していくと良いでしょう。

あくまで優先順位であって、なるべく早く全部変えていったほうがいいよ

使い回しなんかしなきゃよかった〜

もう使い回しをしなくて済むパスワードの考え方をこちらにまとめてます。よかったらご覧ください。

まとめ

  • Phoneで「このパスワードはデータ漏えいで検出されたことがあるため、このアカウントは危険にさらされています。」という表示は、Appleが危険性を教えてくれる機能
  • もう既に「ハッキングされてしまった」とか「乗っ取られてしまった」とか、そういう確定情報ではない
  • ただし、リスクは高い状態なので、なるべく早くパスワードを変更しよう
  • パスワードを変更するには優先順位を参考にすると良い

少しでもお役に立てれば嬉しいです。では今回はこのへんで。