スマホやパソコンに、Googleからの警告メールが突然届いた。件名は「保存したパスワードの一部がウェブ上に漏洩しました」。送信元はno-reply@accounts.google.com。これは詐欺なのか本物なのか、判断できずに手が止まっている人向けのページです。
先に結論です。このメールは本物のこともあります。ただ、メール内のリンクは押さないでください。自分でブラウザからGoogleアカウントを開いて確認するのが正解になる。
この記事では、本物と詐欺の見分け方と、パスワードチェックアップでの正しい確認手順を順番に書いていきます。
「保存したパスワードの一部がウェブ上に漏洩しました」はGoogleのセキュリティ通知か詐欺か
このメールには2つのパターンがあります。片方はGoogleが本当に出しているセキュリティ通知(安全のお知らせ)。もう片方はGoogleのふりをしたフィッシングメール(にせのメール)です。だから「届いた=全部詐欺」とも「全部本物」とも言い切れない。
そもそも送信元がno-reply@accounts.google.comでも、それだけで安心はできません。差出人の表示アドレスは、にせもの側でも似せて作れるからです。見た目のアドレスだけを信じるのは危ない。
もう一つ大事な話があります。この通知は、Googleアカウントそのものが乗っ取られたという意味ではありません。あなたがGoogleパスワードマネージャーに保存したパスワード。それが過去に流出したデータと一致した。そういう知らせです。ここでいう流出データとは、どこかから漏れた情報のかたまり(データ侵害)のことです。つまり困っているのは「保存先のどこかのサービス」であって、Googleアカウントの中身が抜かれたわけではない。ここを取り違えないでください。
Googleパスワードチェックアップで漏洩を確認する正しい手順
やることはシンプルです。メールは開いたまま放置でいい。大事なのは、その中のリンクを押さないことです。むしろ自分の手でブラウザから入っていきます。
個人的にも、こういう通知はメールのボタンからではなく、ブラウザで直接Googleアカウントの管理画面を開いて確認するようにしています。この一手間が一番安全になる。
- メール内のリンクやボタンはクリックしない
- ブラウザで「Googleアカウント」または「パスワードマネージャー」を検索して開く
- 「セキュリティ」を選び、その中の「パスワードチェックアップ」を開く
- 警告が出ているサービスの名前を確認する
- そのサービスの公式サイトを自分で開いて、パスワード変更ページへ移動する
順番はこの通りに進めてください。パスワードチェックアップを開くと、どのサービスのパスワードが漏れたのか、使い回しはどれか、まで一覧で見えます。メールが本物だったとしても、リンク経由ではなく公式サイトから直接入るのが一番安全です。
漏洩したパスワードを変えて、使い回しをやめる
チェックアップで問題のサービスが分かったら、次の手順に進みます。
- 警告が出ていたサービスのパスワードを、まず先に変更する
- 同じパスワードを使い回している別のサービスも、それぞれ違うパスワードに変える
- 新しいパスワードはサービスごとにバラバラにする
とはいえ「全部変えるの面倒だな」と思うかもしれません。でも、ここが一番大事なところです。パスワードの使い回しはなぜ危ないのか。1つのサービスから漏れたとします。すると、同じパスワードを使った他のサービスも一気に開けられてしまうからです。ドアの鍵が全部同じだと、1本盗まれたら全部の部屋に入られる。それと同じ状態になる。
まずは漏れたサービスの1つ。それから使い回しの分を順番に。急いで全部やらなくても、危険度の高い順から潰していけば大丈夫です。
やりがちな失敗と、迷ったときの見分け方
ここでよくあるつまずきを、実際の場面で見ていきます。
ケース1:メールのリンクからパスワードを入力してしまう
一番多い失敗です。警告に驚いて、メール内のボタンをそのまま押し、開いたページにパスワードを打ち込んでしまう。もしそれがにせのメールだったら、入力したパスワードはそのまま相手に渡ります。だからリンクは押さない、が最初のルールになる。
ケース2:Googleアカウントごと漏れたと思い込む
「Googleが乗っ取られた」とパニックになる人もいます。でもこの通知は、保存したパスワードの中身が流出データと一致したという意味です。Googleアカウント本体の話ではない。落ち着いてチェックアップを見れば、対象がどこか分かります。
見分けるときに見る場所
本物か詐欺かは、送信元アドレスだけで決めないでください。メールの中のリンク先URLが、変な文字列になっていないか。文面に不自然な日本語がないか。ここも合わせて見ます。判断に迷ったら、メールは触らずにブラウザからパスワードチェックアップを開く。これが一番迷わない方法です。
そして警告を放置しないこと。「たぶん詐欺だろう」と決めつけて何もしない。これは危ないです。本物だった場合、不正アクセスの入り口を開けたままにしてしまいます。確認だけはしておいたほうがいい。
まとめ
最後に、今日やることを3つに絞って置いておきます。
- 結論:このメールは本物のこともあるが、リンクは押さず、ブラウザから直接Googleアカウントを開いて確認する
- 次にやること:パスワードチェックアップで警告対象のサービスを確認し、公式サイトでパスワードを変更する
- 覚えておくこと:使い回しているパスワードは全部バラバラにする。放置は不正アクセスのリスクになる
no-reply@accounts.google.comからのセキュリティ通知でも、パスワードチェックアップは必ず自分でブラウザから開いて確認するのが安全です。

