NTTコミュニケーションズ

Bizコンパス

Googleが提供するブラウザ拡張機能「Password Checkup」
2019.03.07

今知っておきたいITセキュリティスキルワンランクアップ講座第9回

Googleが提供するブラウザ拡張機能「Password Checkup」

著者 北河 拓士

 Googleは2019年2月5日に、Webサイトへのログイン時に入力されたユーザーID・パスワードが、Googleが認識している侵害されたデータと一致するかをチェックして警告を表示するブラウザ拡張機能「Password Checkup」をリリースしました。

 本連載では、過去にも流出したパスワードをチェックできるWebサイトとして、「Firefox Monitor」や「Have I Been Pwned?」を紹介してきました。

第5回 パスワードの流出をチェックする「Firefox Monitor」とは?
第6回 「Have I Been Pwned?」でパスワード流出を確認する方法

 今回は、Googleがリリースした「Password Checkup」について、「Have I Been Pwned?」(以下HIBP)と比較しながら紹介してみたいと思います。(なお、「Firefox Monitor」は「HIBP」と同じデータを参照し、ほぼ同じ仕組みで動作していますので「HIBP」と同等と考えてください)

 

「Have I Been Pwned?」と「Password Checkup」の比較

「Password Checkup」は「HIBP」のようなWebサイトではなく、ブラウザの拡張機能として提供されています。Chromeの拡張機能だけでなく、Firefoxの拡張機能も提供されており、いずれも無料で利用できます。「HIBP」がWebサイトのためモバイルも含めてどのブラウザでも利用できるのに対し、「Password Checkup」はデスクトップ版のChrome及びFirefoxの拡張機能のみに対応しており、IEやEdgeなどの他のブラウザやモバイル版のChromeやFirefoxでは利用できません。

 登録されているアカウント情報は「HIBP」が64億件に対し、「Password Checkup」では40億件を保持しているとしています(いずれも2019年2月12日現在)。また、「HIBP」ではデータの収集方法や登録されているデータの流出元の一覧を明らかにしていますが、「Password Checkup」ではどの様にデータを収集しているのか、どのサイトからの流出データが登録されているのかは明らかにされていません。

 警告表示のタイミングは、「HIBP」がユーザーID(メールアドレス)をHIBPのWebサイトに手動で入力して検索しなければならないのに対し、「Password Checkup」では一度ブラウザ拡張機能をインストールすれば各サイトにユーザーID・パスワードを入力してログインをする時に自動的にGoogleに問い合わせを行い、Googleが保持するデータと一致すれば警告を表示してくれます。

 ただし、最近のWebサイトでは、1度ログインを行うと明示的にログアウトを行わない限りは、ログイン状態を保持するものも多くなっています。このようなサイトではログインが行われないので「Password Checkup」でのチェックは行われません。また、モバイルのブラウザやアプリのみで利用しているサイトもデスクトップ版のブラウザでのログインが行われないためチェックは行われません。

「HIBP」にはメールアドレスを登録することにより、新たに追加された流出データに自分のメールアドレスが含まれていた場合に、メールで通知してくれるサービスもありますが、「Password Checkup」では新たに追加された流出データに自分のデータが含まれていたとしても、そのサイトに自分でログインをしなければ、チェックが行われません。

 パスワードの使い回しをしている場合のチェックはどうでしょうか?例えばサイトAとサイトBで同じパスワードを使い回している状態でサイトAからのデータ流出があった場合、「HIBP」ではサイトAのみが検索結果に表示され、どのサイトで使い回しをしているかは自分で確認しなければならないのに対し、「Password Checkup」ではサイトBにログインした時にもそのユーザーID・パスワードが既に流出したものと一致するものであれば警告を表示してくれます。

 サイト側にはどのようなデータが送信されるのでしょうか?「HIBP」では検索時に入力したメールアドレスが「HIBP」に送信されます(なお、Firefox Monitorでは、連載第5回で説明 したように検索時に入力したメールアドレスも匿名化されておりそのまま送信されることはありません)。それに対し「Password Checkup」ではサイトのユーザーID・パスワードがそのまま送信されることはありませんが、ログインしようとしているドメイン名とチェック結果(一致・不一致)がGoogleに送信されています(これについては、後で解説します)。

「Have I Been Pwned?」(Firefox Monitor)と「Password Checkup」の比較を以下の表にまとめます。なお、「Password Checkup」はまだリリースされたばかりであり、今後、機能追加や仕様変更がされる可能性があります。あくまでリリース直後の2019年2月現在での比較です。

 このように「Have I Been Pwned?」(Firefox Monitor)と「Password Checkup」は類似のサービスのように思えますが、性質がかなり異なります。それぞれの特徴を把握した上で併用するなり、どちらかを使うなりするのが良いと思います。

 

「Password Checkup」の利用方法

「Password Checkup」の利用方法を簡単に説明します。… 続きを読む

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事が気に入ったらクリック!

お気に入り登録

この記事で紹介しているサービスについて

SHARE

関連記事

IoT普及によりセキュリティ対策はどうすべきか

2018.07.06

2020年に向けたサイバーセキュリティ対策を考える第1回

IoT普及によりセキュリティ対策はどうすべきか

悪質化するサイバー攻撃に対する新たな対策とは

2018.07.13

セキュリティ対策に求められる新たな視点第1回

悪質化するサイバー攻撃に対する新たな対策とは

IPA情報セキュリティ10大脅威から読み解く、脆弱性対策とは

2018.04.18

短期化する脆弱性の被害を防ぐには?

IPA情報セキュリティ10大脅威から読み解く、脆弱性対策とは

高木浩光氏が解説「パスワード定期変更は都市伝説」

2018.08.27

情報セキュリティの「常識」を検証する前編

高木浩光氏が解説「パスワード定期変更は都市伝説」

ゼロトラストを目指し境界防御から無害化に、ネオファースト生命はどう移行したか?

2021.06.16

セキュリティ対策に求められる新たな視点第24回

ゼロトラストを目指し境界防御から無害化に、ネオファースト生命はどう移行したか?

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

2021.03.05

セキュリティ対策に求められる新たな視点第23回

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

暗号化ZIPをメールで添付する方式の何が問題か?

2021.02.02

今知っておきたいITセキュリティスキルワンランクアップ講座第25回

暗号化ZIPをメールで添付する方式の何が問題か?

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

日本のセキュリティリーダーシップに求められる3つのこと

2020.12.14

IT&ビジネス最新ニュース第89回

日本のセキュリティリーダーシップに求められる3つのこと