Googleの重大なセキュリティ通知は乗っ取り?意味と直し方

朝スマホを開いたら、Googleから「重大なセキュリティ通知」というメールが届いていた。中を見ると「保存したパスワードの一部がウェブ上に漏洩しました」と書いてある。何のことか分からず、このページを開いた人が多いと思います。

結論から言うと、この通知はGoogleアカウントそのものが乗っ取られたわけではありません。ただ、保存していたどこかのサイトのパスワードが漏れたサインです。

この記事では、通知の意味と、どこのパスワードが漏れたかの確認方法、直し方までをまとめました。手順どおりに進めれば大丈夫です。

「重大なセキュリティ通知」は乗っ取りではない

この通知が何を意味するのか、順番に整理します。これは、Googleアカウント自体が誰かに入られたという意味ではありません。あなたがGoogleパスワードマネージャーに保存していたパスワードのどれかが、外部の漏洩リストと一致した、という合図です。

仕組みはシンプルです。Googleは過去に世界中で起きたデータ侵害(情報流出)のパスワード一覧を持っています。あなたが保存したパスワードと、その一覧を照らし合わせる。もし一致したら「危ないよ」と教えてくれるわけです。

つまり漏れたのは、あなたが使っている外部サイトやアプリのパスワードになる。Googleのログイン情報が盗まれたわけではありません。

緊急度も見ておきます。「今この瞬間に乗っ取られる」というレベルではありません。ただし「早めに直したほうがいい」レベルではあります。放っておくと、同じパスワードを使い回している別のサイトが狙われるからです。

メールのリンクは踏まない。まず確認すること

ここで一番大事なポイントがあります。メールの中にある「今すぐ確認」みたいなリンクは、直接クリックしないほうがいいです。理由は、この手のメールは本物にそっくりなフィッシング(にせのログイン画面に誘導する詐欺)が紛れているからになる。

個人的には、メール内のリンクはクリックせず、ブラウザから直接Googleアカウントの管理画面へアクセスするのが一番安全だと思います。アドレス欄に自分でGoogleアカウントのページを入れて開けば、にせサイトに飛ばされる心配がありません。

それと、よくある勘違いをひとつ。「Googleアカウントのパスワードだけ変えれば安心」と思う人がいます。でも今回漏れたのは外部サイトのほうです。Googleのパスワードを変えても、漏れた本体は直っていません。

  • メール内のリンクはクリックしない
  • ブラウザで自分からGoogleアカウントの管理画面を開く
  • 送信元アドレスとアクセス経路を自分の目で確認する
  • Googleのパスワードだけ変えて終わりにしない

なお、あなたに届いたメールが本物のGoogleからか、巧妙なにせものかは、ユーザーごとに確認が必要です。これは「誰でも一律に本物」とは言い切れません。だからこそ、リンクを踏まずに自分でアクセスする流れが安全になる。

パスワードチェックアップで漏れたサイトを直す手順

やることはシンプルで、確認して変えるだけです。順番に進めます。

  • ブラウザでGoogleアカウントの管理画面を開く
  • 「セキュリティ」タブから「パスワードマネージャー」を選ぶ
  • 「パスワードチェックアップ」を実行する
  • 警告が出ているサイトの一覧を確認する
  • そのサイトへ直接アクセスして、パスワードを新しく変える

パスワードチェックアップを押すと、どのサイトのパスワードが漏れているかが名前で出ます。Googleが勝手に他サイトのパスワードを変えてくれるわけではありません。だから、指摘されたサイトには自分で行って変える必要があります。

ここで見落としがちなのが、パスワードの使い回しです。同じパスワードをAとBとCのサイトで使っていたら、1つ漏れた時点で全部が危ない。だから、漏れたサイトだけでなく、同じパスワードを使っている他のサイトも合わせて変えたほうがいいです。

変えるときは、サイトごとにバラバラのパスワードにする。これだけで、次に1つ漏れても被害が広がりにくくなります。

2段階認証を入れて次のデータ侵害に備える

たとえばパスワードが漏れても、2段階認証(ログイン時に確認コードを足す仕組み)を入れておくと、他人はそう簡単に入れません。パスワードだけでは足りず、あなたのスマホに届くコードが必要になるからです。

だからこの機会に、Googleアカウントの2段階認証がオンになっているか確認しておくといいです。オフのままなら、この通知が「入れておこうか」のちょうどいいきっかけになる。

逆に、通知を無視して放置するとどうなるか。漏れたパスワードはそのまま。使い回している他サイトも狙われやすい状態が続きます。むしろ一度直してしまえば、同じ通知が来ても慌てずに済みます。

最後にもう一度だけ。メールが本物か偽物かの最終判断は、送信元アドレスと、自分でアクセスした管理画面の中身で確かめてください。一方で、リンクから飛んだ画面だけを信じるのはやめておく。ここだけ守れば、変な画面でパスワードを抜かれることはありません。

まとめ

不安の正体が分かれば、やることは3つに絞れます。

  • 結論:この通知はGoogleアカウントの乗っ取りではなく、保存したパスワードがデータ侵害と一致した合図です
  • 次にやること:メールのリンクは踏まず、パスワードチェックアップで漏れたサイトを確認して直す
  • 覚えておくこと:使い回しているサイトも全部変え、2段階認証を有効にしておく

パスワードチェックアップで指摘されたサイトを直接変更し、使い回しをやめて2段階認証まで入れておけば、この重大なセキュリティ通知にはもう慌てずに済みます。

pocketlinehatebuimagegalleryaudiovideocategorytagchatquotegoogleplusfacebookinstagramtwitterrsssearchenvelopeheartstaruserclosesearch-plushomeclockupdateeditshare-squarechevron-leftchevron-rightleafexclamation-trianglecalendarcommentthumb-tacklinknaviconasideangle-double-upangle-double-downangle-upangle-downstar-halfstatus
タイトルとURLをコピーしました