朝スマホを開いたら、Googleから「重大なセキュリティ通知」というメールが届いていた。中を見ると「保存したパスワードの一部がウェブ上に漏洩しました」と書いてある。何のことか分からず、このページを開いた人が多いと思います。
結論から言うと、この通知はGoogleアカウントそのものが乗っ取られたわけではありません。ただ、保存していたどこかのサイトのパスワードが漏れたサインです。
この記事では、通知の意味と、どこのパスワードが漏れたかの確認方法、直し方までをまとめました。手順どおりに進めれば大丈夫です。
「重大なセキュリティ通知」は乗っ取りではない
この通知が何を意味するのか、順番に整理します。これは、Googleアカウント自体が誰かに入られたという意味ではありません。あなたがGoogleパスワードマネージャーに保存していたパスワードのどれかが、外部の漏洩リストと一致した、という合図です。
仕組みはシンプルです。Googleは過去に世界中で起きたデータ侵害(情報流出)のパスワード一覧を持っています。あなたが保存したパスワードと、その一覧を照らし合わせる。もし一致したら「危ないよ」と教えてくれるわけです。
つまり漏れたのは、あなたが使っている外部サイトやアプリのパスワードになる。Googleのログイン情報が盗まれたわけではありません。
緊急度も見ておきます。「今この瞬間に乗っ取られる」というレベルではありません。ただし「早めに直したほうがいい」レベルではあります。放っておくと、同じパスワードを使い回している別のサイトが狙われるからです。
メールのリンクは踏まない。まず確認すること
ここで一番大事なポイントがあります。メールの中にある「今すぐ確認」みたいなリンクは、直接クリックしないほうがいいです。理由は、この手のメールは本物にそっくりなフィッシング(にせのログイン画面に誘導する詐欺)が紛れているからになる。
個人的には、メール内のリンクはクリックせず、ブラウザから直接Googleアカウントの管理画面へアクセスするのが一番安全だと思います。アドレス欄に自分でGoogleアカウントのページを入れて開けば、にせサイトに飛ばされる心配がありません。
それと、よくある勘違いをひとつ。「Googleアカウントのパスワードだけ変えれば安心」と思う人がいます。でも今回漏れたのは外部サイトのほうです。Googleのパスワードを変えても、漏れた本体は直っていません。
- メール内のリンクはクリックしない
- ブラウザで自分からGoogleアカウントの管理画面を開く
- 送信元アドレスとアクセス経路を自分の目で確認する
- Googleのパスワードだけ変えて終わりにしない
なお、あなたに届いたメールが本物のGoogleからか、巧妙なにせものかは、ユーザーごとに確認が必要です。これは「誰でも一律に本物」とは言い切れません。だからこそ、リンクを踏まずに自分でアクセスする流れが安全になる。
パスワードチェックアップで漏れたサイトを直す手順
やることはシンプルで、確認して変えるだけです。順番に進めます。
- ブラウザでGoogleアカウントの管理画面を開く
- 「セキュリティ」タブから「パスワードマネージャー」を選ぶ
- 「パスワードチェックアップ」を実行する
- 警告が出ているサイトの一覧を確認する
- そのサイトへ直接アクセスして、パスワードを新しく変える
パスワードチェックアップを押すと、どのサイトのパスワードが漏れているかが名前で出ます。Googleが勝手に他サイトのパスワードを変えてくれるわけではありません。だから、指摘されたサイトには自分で行って変える必要があります。
ここで見落としがちなのが、パスワードの使い回しです。同じパスワードをAとBとCのサイトで使っていたら、1つ漏れた時点で全部が危ない。だから、漏れたサイトだけでなく、同じパスワードを使っている他のサイトも合わせて変えたほうがいいです。
変えるときは、サイトごとにバラバラのパスワードにする。これだけで、次に1つ漏れても被害が広がりにくくなります。
2段階認証を入れて次のデータ侵害に備える
たとえばパスワードが漏れても、2段階認証(ログイン時に確認コードを足す仕組み)を入れておくと、他人はそう簡単に入れません。パスワードだけでは足りず、あなたのスマホに届くコードが必要になるからです。
だからこの機会に、Googleアカウントの2段階認証がオンになっているか確認しておくといいです。オフのままなら、この通知が「入れておこうか」のちょうどいいきっかけになる。
逆に、通知を無視して放置するとどうなるか。漏れたパスワードはそのまま。使い回している他サイトも狙われやすい状態が続きます。むしろ一度直してしまえば、同じ通知が来ても慌てずに済みます。
最後にもう一度だけ。メールが本物か偽物かの最終判断は、送信元アドレスと、自分でアクセスした管理画面の中身で確かめてください。一方で、リンクから飛んだ画面だけを信じるのはやめておく。ここだけ守れば、変な画面でパスワードを抜かれることはありません。
まとめ
不安の正体が分かれば、やることは3つに絞れます。
- 結論:この通知はGoogleアカウントの乗っ取りではなく、保存したパスワードがデータ侵害と一致した合図です
- 次にやること:メールのリンクは踏まず、パスワードチェックアップで漏れたサイトを確認して直す
- 覚えておくこと:使い回しているサイトも全部変え、2段階認証を有効にしておく
パスワードチェックアップで指摘されたサイトを直接変更し、使い回しをやめて2段階認証まで入れておけば、この重大なセキュリティ通知にはもう慌てずに済みます。

