Googleは2019年2月5日に、Webサイトへのログイン時に入力されたユーザーID・パスワードが、Googleが認識している侵害されたデータと一致するかをチェックして警告を表示するブラウザ拡張機能「Password Checkup」をリリースしました。

 本連載では、過去にも流出したパスワードをチェックできるWebサイトとして、「Firefox Monitor」や「Have I Been Pwned?」を紹介してきました。

第5回 パスワードの流出をチェックする「Firefox Monitor」とは?
第6回 「Have I Been Pwned?」でパスワード流出を確認する方法

 今回は、Googleがリリースした「Password Checkup」について、「Have I Been Pwned?」(以下HIBP)と比較しながら紹介してみたいと思います。(なお、「Firefox Monitor」は「HIBP」と同じデータを参照し、ほぼ同じ仕組みで動作していますので「HIBP」と同等と考えてください)

 

「Have I Been Pwned?」と「Password Checkup」の比較

「Password Checkup」は「HIBP」のようなWebサイトではなく、ブラウザの拡張機能として提供されています。Chromeの拡張機能だけでなく、Firefoxの拡張機能も提供されており、いずれも無料で利用できます。「HIBP」がWebサイトのためモバイルも含めてどのブラウザでも利用できるのに対し、「Password Checkup」はデスクトップ版のChrome及びFirefoxの拡張機能のみに対応しており、IEやEdgeなどの他のブラウザやモバイル版のChromeやFirefoxでは利用できません。

 登録されているアカウント情報は「HIBP」が64億件に対し、「Password Checkup」では40億件を保持しているとしています(いずれも2019年2月12日現在)。また、「HIBP」ではデータの収集方法や登録されているデータの流出元の一覧を明らかにしていますが、「Password Checkup」ではどの様にデータを収集しているのか、どのサイトからの流出データが登録されているのかは明らかにされていません。

 警告表示のタイミングは、「HIBP」がユーザーID(メールアドレス)をHIBPのWebサイトに手動で入力して検索しなければならないのに対し、「Password Checkup」では一度ブラウザ拡張機能をインストールすれば各サイトにユーザーID・パスワードを入力してログインをする時に自動的にGoogleに問い合わせを行い、Googleが保持するデータと一致すれば警告を表示してくれます。

 ただし、最近のWebサイトでは、1度ログインを行うと明示的にログアウトを行わない限りは、ログイン状態を保持するものも多くなっています。このようなサイトではログインが行われないので「Password Checkup」でのチェックは行われません。また、モバイルのブラウザやアプリのみで利用しているサイトもデスクトップ版のブラウザでのログインが行われないためチェックは行われません。

「HIBP」にはメールアドレスを登録することにより、新たに追加された流出データに自分のメールアドレスが含まれていた場合に、メールで通知してくれるサービスもありますが、「Password Checkup」では新たに追加された流出データに自分のデータが含まれていたとしても、そのサイトに自分でログインをしなければ、チェックが行われません。

 パスワードの使い回しをしている場合のチェックはどうでしょうか?例えばサイトAとサイトBで同じパスワードを使い回している状態でサイトAからのデータ流出があった場合、「HIBP」ではサイトAのみが検索結果に表示され、どのサイトで使い回しをしているかは自分で確認しなければならないのに対し、「Password Checkup」ではサイトBにログインした時にもそのユーザーID・パスワードが既に流出したものと一致するものであれば警告を表示してくれます。

 サイト側にはどのようなデータが送信されるのでしょうか?「HIBP」では検索時に入力したメールアドレスが「HIBP」に送信されます(なお、Firefox Monitorでは、連載第5回で説明 したように検索時に入力したメールアドレスも匿名化されておりそのまま送信されることはありません)。それに対し「Password Checkup」ではサイトのユーザーID・パスワードがそのまま送信されることはありませんが、ログインしようとしているドメイン名とチェック結果(一致・不一致)がGoogleに送信されています(これについては、後で解説します)。

「Have I Been Pwned?」(Firefox Monitor)と「Password Checkup」の比較を以下の表にまとめます。なお、「Password Checkup」はまだリリースされたばかりであり、今後、機能追加や仕様変更がされる可能性があります。あくまでリリース直後の2019年2月現在での比較です。

 このように「Have I Been Pwned?」(Firefox Monitor)と「Password Checkup」は類似のサービスのように思えますが、性質がかなり異なります。それぞれの特徴を把握した上で併用するなり、どちらかを使うなりするのが良いと思います。

 

「Password Checkup」の利用方法

「Password Checkup」の利用方法を簡単に説明します。… 続きを読む

全文(続き)を読む

続きを読むにはログインが必要です。

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

北河 拓士

北河 拓士

NTTコミュニケーションズ株式会社
経営企画部 マネージドセキュリティサービス推進室

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

関連キーワード

連載記事