【Google】「保存したパスワードの一部がウェブ上に漏洩しました」メールが届いたら

Gmailアカウントに対して、「Google」から、突然次のようなメールが届く場合があります。

重大なセキュリティ通知

保存したパスワードの一部がウェブ上に漏洩しました

Google アカウントに保存したパスワードの一部が、ご使用のサイトまたはアプリからデータ侵害で漏洩しました。

Google アカウントには影響ありませんが、今すぐパスワードチェックアップ（passwords.google.com/checkup）を使用して、保存したパスワードを保護してください。

[パスワードを確認]

このメールを見て、反射的に「偽物かもしれない」、と思ってしまうケースも少なくないようです。

しかし、このメールを受信した上で、別途Googleのパスワードマネージャー（後述する「パスワードチェックアップ」）にアクセスしてみたところ、漏洩していると表示された、との声が少なくないことから、この文面自体は、本当にGoogleから送信されてくる場合のあるメールであるものと思われます。

そのため、この文面だけで「どうせ偽物だから何もしなくて良いだろう」と判断してよいタイプ「ではない」メールです。

しかし、全く同じ文面を利用した偽物のメールが今後出現する／混ざっている可能性も否定できません。

そして、メール自体が本物か偽物かどうかを判断するのは必ずしも簡単ではありません。

そのため、そういった可能性も含めて現状を確認するには、メールからではなく、「パスワードチェックアップ（https://passwords.google.com/checkup）」のサイトにアクセスして、自らGoogleのサイト側で確認する、という方法があります（このURLすら心配であれば、Googleアカウントのサイトへアクセスして「セキュリティ」タブから「パスワードマネージャー」を開き、「パスワードチェックアップ」へと進んでみてください）。

パスワードチェックアップのページを開いたら、「Googleアカウントに保存したパスワードのセキュリティをチェックしましょう。パスワードが不正利用されるリスクや、パスワードの強度と使い回しを確認できます」と表示されるので、「パスワードを確認」をクリックした上で、パスワードを入力し、ログインしてみてください。

すると、Googleによりパスワードのチェックが行われ、場合によっては「漏洩した可能性のあるパスワードが○○件あります」と表示されます。

漏洩した可能性のあるパスワードが１件あります

これらのパスワードを今すぐ変更してください
保存したパスワードの一部がGoogle以外でのデータ侵害で漏洩しました。今すぐ変更してください。

その表示の下に、パスワードが漏洩したと指摘されているサイトの一覧が「以下の○○件のアカウントがリスクに晒されています」として表示されるので、それらを確認し、パスワードの変更などの対応を行ってみてください。

現在設定されているパスワードが既に「流出済みのパスワード」の状態であるため、推測されにくい、別のパスワードへの変更が必要な状態です。

なお、この通知について、「Googleから漏洩した」「Chromeから漏洩した」「漏洩したパスワードを使っていると表示された○○○○.comから漏洩した」など、パスワードの流出元を、今回の通知まわりで表示されるサイトやサービスだと考えてしまうかもしれません。

しかし今回のような警告は、「どこかから流出したパスワードと同じパスワードを使っている」ということを指摘しているだけであり、「どこから流出したか」というのは全く別であり（判断が付かず）、通知からは分かりません。そのため、この通知を見ただけで「○○○○.comで流出があったらしい」のように読み取ってしてしまわないように注意してください（そもそも漏洩した、といった事実がないものの、あまりにパスワードが単純すぎた場合等を含め、たまたま他のユーザーとID/パスワードが一致してしまっていた上で、そちらが漏洩していた、などの場合も考えられます）。

※複数人のユーザーの間でパスワードを共有（同じパスワードを利用していたり、配布していたり）していた場合に、漏洩したパスワードとして検出された、というケースが少なくないようです。