Googleから「重大なセキュリティ通知」という件名の「保存したパスワードの一部がウェブ上に漏洩しました」というメールが届き不安になっていませんか?
本記事ではこのメールが正規のもの・安全なのかを確認する方法と、正規のメールだったときの対処法を解説します。
※本記事は2024年9月12日時点の情報を基に作成しています。
「保存したパスワードの一部がウェブ上に漏洩しました」というメールが届く理由
「保存したパスワードの一部がウェブ上に漏洩しました」とは、Googleアカウントや使用中のWebサービスから直接パスワードが漏洩したという意味ではありません。
Googleアカウントに保存したユーザ名・パスワードと同じものが過去インターネット上で漏洩していたものと一致したときに、Googleは以下のメールアドレスからこのようなメールを送信します。
no-reply@accounts.google.com
一方で、Googleを装った偽メールである可能性もゼロではないため、まずはメールが本物であるかを確認しましょう。
【参考情報】
Google | Chrome でのパスワード保護の仕組み
「保存したパスワードの一部がウェブ上に漏洩しました」というメールが本物か確認する方法
メールの送信元情報で「保存したパスワードの一部がウェブ上に漏洩しました」というメールが本物か見分けられることがあります。
以下の2つの手順で送信元情報を確認しましょう。
- ①メールの送信元が「no-reply@accounts.google.com」であることを確認する
-
「保存したパスワードの一部がウェブ上に漏洩しました」のメールが本物かを見分けるには、まず送信元のアドレスが「no-reply@accounts.google.com」と一致しているかどうかを確認してください。
アルファベットの「o」を数字の「0」に置き換えたり、アルファベットの「l」を数字の「1」で置き換えたりすることで、見た目を似せる手口が存在します。
メールボックスの検索機能などを用いて、送信元のメールアドレスが正しいか確認しましょう。
iPhone/Androidでメールアドレスが正しいか確認する手順※クリックして開く
STEP「メールを検索」をタップするSTEP「差出人」をタップするSTEP「名前かメールアドレスを入力」の欄に「no-reply@accounts.google.com」と入力するSTEPメールの送信元が「no-reply@accounts.google.com」のメールのみが表示される一見「no-reply@accounts~」のアドレスから送信されているメールでも、検索結果に表示されていない場合は、アドレスを似せた偽の送信元からのメールの疑いがあります。
パソコンでメールアドレスが正しいか確認する手順※クリックして開く
STEP「メールを検索」の右のマークをクリックするSTEP「From」の欄に「no-reply@accounts.google.com」と入力して「検索」をクリックするSTEPメールの送信元が「no-reply@accounts.google.com」のメールのみが表示される一見「no-reply@accounts~」のアドレスから送信されているメールでも、検索結果に表示されていない場合は、アドレスを似せた偽の送信元からのメールの疑いがあります。
- ②メールの送信元アドレスが偽造されていないかを確認する
-
送信元アドレスが「no-reply@accounts.google.com」と記載されていても、アドレスが偽造されていたり、メールの内容が改ざんされていたりする場合もあります。
過去に、送信元アドレスが「no-reply@accounts.google.com」に偽造されていて、メールの本文はAmazonを装った偽メールの事例が確認されています。
【参考情報】
Amazonセラーセントラル | Amazonの名前を使用した詐欺メールにご注意を以下の手順で、送信元アドレスやメールの内容が偽造されていないか確認してください。
(スマートフォンアプリのGmailはこの確認方法に対応していないため、Web版のGmailから行ってください。)送信元アドレスが偽装されていないか確認する手順※クリックして開く
STEPブラウザ版のGmailでメールを開きますSTEP右上の[その他]から[メッセージのソースを表示] をクリックします。STEP新しいウィンドウに表示されたメールの詳細情報で「SPF」「DKIM」「DMARC」を確認しますこれらがすべて「PASS」であれば、メールの送信元が偽造されていないと判断できます。「FAIL」の場合は、アドレスを偽造した偽メールの疑いがあります。
SPF・DKIM・DMARCとは?
・SPFとは、「Sender Policy Framework」の略で、メールの送信元ドメインが偽造されていないかを検査し、なりすましメールを防ぐための仕組みです。
・DKIMとは、「Domain Keys Identified Mail」の略で、メール内容の改ざんを防ぐための技術です。
・DMARCとは、「Domain-based Message Authentication, Reporting, and Conformance」の略で、メールの送信者として表示されているアドレスと、前述のSPFで認証したアドレスが一致しているかどうかを検査する仕組みです。SPFとDKIMを補って、なりすましメールを防ぐための技術です。【参考情報】
Google | Gmail の迷惑メールと認証
Google | SPF を使用してなりすましと迷惑メールを防止する
Google | DKIM を使用してなりすましと迷惑メールを防止する
Google | 所有ドメインから送信される未認証メールを制御する
Yahoo!メールやOutlookなど別のメールサービスを使用している場合は、上記と確認方法が異なります。各メールサービスで確認する方法は、以下を参照してください。【参考情報】
Google | 完全なヘッダーからメールの経路を確認する
メールが本物だった場合、Googleアカウントに保存したユーザ名とパスワードが漏洩している可能性があるため、各サービスでパスワードの変更が必要です。
メールが偽物だったときは、以下の記事を参考に迷惑メールの対策・対処をしましょう。
また、最近の偽メールは巧妙に作られているため、偽物かどうかを見分けるのが難しいです。
セキュリティ対策ツールでメールに添付されているリンクの安全性を確認しておくと安心です。
トレンドマイクロはLINEのトーク画面で、Webサイトの安全性やメールアドレスの流出を確認できる無料のセキュリティ対策ツール「ウイルスバスター チェック!」を提供しています。
ウイルスバスター チェック!(無料)
パスワードがウェブ上に漏洩していたときの対処法
前述の通り、Googleから届く「保存したパスワードの一部がウェブ上に漏洩しました」という正規メールは、「Googleアカウントに保存したユーザ名とパスワードの組み合わせが過去に漏洩したものと一致していた」ことを通知するものです。
まずはどのWebサービスのパスワードが漏洩しているのかを確認し、すぐにこれらを変更してください。
その後、Googleパスワードマネージャーに保存済みのパスワードも変更しましょう。
具体的な手順は以下のとおりです。
ウェブ上に漏洩しているパスワードを変更する手順※クリックして開く
パスワードを変更する際は、以下の記事を参考に安全で覚えやすいものを設定しましょう。
【関連記事】
「パスワードを更新しますか?」と表示された場合はこれで完了です。
表示されなかった場合は次の手順に進んでください。
なお、STEP3で検出された「使い回されているパスワード」や「脆弱なパスワード」は今回の警告とは関係ありませんが、そのままにしておくのは危険なため、同じ手順で変更しましょう。
パスワードを使いまわすことによる危険性については以下の記事を参照してください。
【関連記事】
パスワードの強度をチェックすることで、脆弱なパスワードを避けることもできます。
【関連記事】
Googleパスワードマネージャーについてさらに詳しく知りたい方は以下の記事を参照してください
【関連記事】
パスワードを簡単に管理する方法
前述のとおり、パスワードが漏洩した際の被害を最小限に抑えるためには、サービスごとに推測されにくいパスワードを設定する必要があります。
しかし、利用するサービスが増える度にパスワードも増えていくため、すべて覚えておくのは難しいです。
そのため、ツールなどを使用して記憶に頼らずパスワードを管理しましょう。
パスワードを管理する主な方法は以下の4つです。
パスワードを安全かつ簡単に管理したい方に特におすすすめなのは、パスワード管理アプリです。
ユーザ自身がパスワードを適切に管理していても、企業の情報漏洩などによって、パスワードがインターネット上に漏洩することがあります。
そのためGoogleパスワードマネージャーのように、パスワード管理だけでなく、パスワード漏洩を検知できるサービスやアプリの使用を検討しましょう。
【トレンドマイクロのパスワード管理アプリの紹介】
トレンドマイクロ ID プロテクションは、個人情報流出による被害を防ぐアプリです。
メールアドレス、クレジットカード情報などの個人情報流出の有無を常時監視し、万が一流出を確認した場合、セキュリティアドバイザーがメール・電話にて対処方法を支援します。
※ 情報の流出や不正利用時の対処支援は問題解決のご支援を行うためのもので、問題解決を保証するものではありません。
以下のアプリストアより、無料でダウンロードしましょう。
トレンドマイクロ ID プロテクション無料体験版
・トレンドマイクロ ID プロテクションの「個人情報漏洩監視機能」
メールアドレス、クレジットカード情報などの個人情報がインターネットやダークウェブに流出していないかを常時監視できます。
トレンドマイクロ ID プロテクションのその他の機能
※クリックして詳細を見る
・情報流出時の対処支援
モニタリングしている個人情報の流出が確認された場合、セキュリティアドバイザーによりメール・電話にて対処方法の支援を受けることができます。
・パスワード管理
IDやパスワードを安全に記憶し、一括管理。最高レベルの暗号化方式であるAES 256bitでデータを保護します。パスワードを簡単かつ安全に生成することも可能です。
・SNSアカウントのプライバシー保護
SNSアカウント(Google/Facebook/Instagram)に不正利用があった場合に、お客さまのメールに通知したり※1、アカウントのプライバシー設定が安全であるかチェックしたりできます。※2
※1 すべての不正利用を検知することを保証するものではありません。Google および Facebook、Instagramが対象です。
※2 Windows および Mac のブラウザ拡張機能でのみご利用いただけます。
・インターネット利用時のプライバシーの保護
追跡型広告に利用されるWeb閲覧履歴など、広告主や攻撃者による情報収集を防止することで、お客さまのプライバシーを守ります。
・危険なWebサイトを警告
閲覧しているWebサイトが個人情報を盗む不正サイトでないか確認し、不正サイトと判定した場合に警告します。Chrome および Edge のブラウザ拡張機能でのみご利用いただけます。(Windows/Macデバイスのみ対応)
「保存したパスワードの一部がウェブ上に漏洩しました」というメールが届いたら適切に対処しよう
「保存したパスワードの一部がウェブ上に漏洩しました」というメールをGoogleが実際に配信していますが、届いたメールが本物かどうかをきちんと確認する必要があります。
また正規のメールだった場合は、漏洩の可能性があるパスワードについて適切に対処しましょう。
投稿 ”保存したパスワードの一部がウェブ上に漏洩しました”というメールが届いたときの対処法 は ウイルスバスター セキュリティトピックス に最初に表示されました。