どうも、にゅーすばんくです。
iPhoneでSafariやアプリでAmazonや楽天などの会員サイトにログインをしたとき、「このパスワードはデータ漏洩で検出されたことがあるため、このアカウントは危険にさらされています」という警告が表示されることがあります。
「この警告はどういう意味なのか?」
「本当にパスワードは流出してしまったのか?」
「放置していたら危険なのか?」
などなど、突然の警告に対して疑問に思うことも多いと思います。
そこでこの記事では、iPhoneに通知される「このパスワードはデータ漏洩で検出されたことがあるため危険」という警告について、詳しく解説していきたいと思います。
目次
“このパスワードはデータ漏洩で検出されたことがあるため危険”
先日久々にマクドナルドを食べにいき、クーポンを探すためにマクドナルドのアプリにログインをしたんです。
すると・・・、iPhoneに以下のような謎のメッセージが表示されました。
なにこれ怖すぎ!!!!
本当にパスワードは流出してしまったのだろうか・・・・。
iOS14から漏洩したパスコードに警告を通知してくれる
iPhoneを使いづけてもう何年もたちますが、こんなメッセージが表示されたのは始めてです。
それもそのはず、実はこの警告は「パスワード監視」と呼ばれるiOS14からの新機能によるものなのです。
この機能をオンにしていると、iCloudに保存しているあなたのパスコードは、Appleが保有する過去に漏洩したパスコードリストと自動的に照合されます。
そして照合の結果、漏洩したパスワードリストとあなたのパスワードが一致した場合、「このパスワードはデータ漏洩で検出されたことがあるため、このアカウントは危険」という警告を表示する仕組みになっています。
ちなみにこの警告はパスワードを入力する際に表示されますが、過去に警告された内容については以下の手順で確認することが可能です。
設定アプリから「パスワード」→「セキュリティに関する勧告」をタップします。
 |  |
警告がある場合、この画面に一覧が表示されます。僕の場合は同じパスワードを使っていることもあり、警告だらけになっています・・・。
ちなみに・・・
「侵害されたパスワードを検出」のラベルをオフにすれば、パスワード監視機能が停止し警告もオフにできるように変更が可能です。
“このパスワードはデータ漏洩で検出された”の意味
Appleはこのパスワード監視機能について、公式サイトで以下のように説明しています。
Safariはあなたが保存したパスワードを安全な状態で監視し、データの漏えいで侵害された可能性があるパスワードを自動的に調べます。強固な暗号化技術を使い、侵害されたパスワードのリストに対してあなたのパスワードの導出値を定期的にチェック。これはプライバシーを守る安全な手法で行われるため、あなたのパスワード情報はAppleも知ることができません。
出典:Apple公式サイト
Appleの説明にも書いてあるように、iOS14のパスワード監視機能は「iCloudに登録しているサイトのパスワードが、過去に漏洩したパスワードと一致したときに警告される機能」です。
つまり、パスワードのパターンが一致しただけであって、特定のサイトであなたのアカウント名とパスワードが漏洩したわけではないのです。
iPhoneでパスワードがデータ漏洩したらパスワードを変えるべき?
警告には「このパスワードはデータ漏洩で検出されたことがあるため、このアカウントは危険にさらされています。パスワードはすぐに変更した方がよいでしょう。」と、今すぐパスコードを変更することが推奨されています。
前述したように特定のサイトのアカウント名とパスワードが漏洩したわけではないので、この警告が出たからといって今すぐ被害が発生するわけではありません。
ただし、パスワードリスト型攻撃(※)の標的になる危険性もあるので、Appleが推奨するようにパスワードは今すぐ変更すべきだと思います。
パスワードリスト型攻撃とは、不正アクセス(不正ログイン)を試みる手法の一種で、あらかじめ用意したアカウント情報(IDとパスワードの組み合わせ)一覧をもとにログインを試みる手法である。
パスワードリスト型攻撃で用いられるアカウント情報は、どこか他のサービスなどから不正に入手したリストである。総当たり攻撃よりも、ユーザーが実際に使っている文字列の組み合わせに突き当たりやすく、不正ログインが成功しやすい。とりわけ、同じユーザーがアカウント入手先のサービスでも同じIDとパスワードの組み合わせを設定していた場合、つまりアカウント情報の使い回しをしていた場合、ピンポイントでログインできてしまう。
出典:weblio
データ漏洩の可能性のあるパスワードを変更する方法
設定アプリから「パスワード」→「セキュリティに関する勧告」をタップします。
| |
すると漏洩したパスワードと一致している、危険なパスワードを使っているサイトの一覧が表示されます。
「WEBサイトのパスワードを変更」をタップすると、該当するサイトの公式HPに直接飛ぶことが可能です。
 |  |
どのサイトもログインページ内にパスワードのリセットリンクがあるので、各サイトそれぞれパスワードを変更しておきましょう。
最後に
今回の記事では「このパスワードはデータ漏洩で検出されたことがあるため危険」というiPhoneへの警告について解説をさせていただきました。
もし記事の中で分からないことがあれば、気軽にコメントで質問していただけたらと思います。
以上、最後まで読んでくれて感謝!感謝!です。