見出し画像

iPhoneのパスワード流出チェックと、漏洩した際の対処法(2024/10/04)

お世話になっております。まるです。

僕は割と面倒くさがりで、多くのサイトでパスワードを使い回してきて生きてきたのですが、つい先日そのパスワードが流出してしまい、約260のWebサイトで不正アクセスし放題になってしまいました。

とりあえず数日がかりで260のWebサイト一つ一つ、ひたすらパスワードを変える作業をして事なきを得たのですが、気になって身の回りの人たちにもパスワードの流出状況をチェックしてもらったら、なんと聞いた人のうち半数以上の人のパスワードが漏洩していたので(!!)、かなり多くの人が自覚なしに、知らない人からの不正アクセスを許してしまっている状況になっているのだと実感しました。

そこで今回の記事では自分と同じiPhoneユーザーの方々に、パスワードの流出状況のチェックの方法と、もし漏洩していた際の対処法をご紹介したいと思います。
特にパスワードが流出しているかどうかのチェックは一瞬で確認できるので、この記事を見ながらぜひ確認してみてください。


パスワード流出検知の原理

Apple社は常に様々なオンライン組織と通信し、データ漏えいによって侵害されたことのあるID・パスワード情報を定期的に取得しています。
この情報を基に、もしユーザーが使用しているパスワードが既に流出したものであると断言される場合、パスワードに漏洩のマークが付けられることになります。

パスワードの流出状況のチェック

チェックの仕方はiOSのバージョンによって異なります。
この記事を書いている時の最新のバージョンはiOS18(2024/09/17公開)なので、iOS18での確認方法と、それ以前のバージョンでの確認方法を順にご紹介します。

iOS18の場合

iOS18では、デフォルトで新しくパスワードアプリが追加されているかと思います。

パスワードアプリのアイコン

このアプリにログインするといくつか項目が出てきますが、パスワードの流出状況を確認するには赤いビックリマークのセキュリティをタップしてください。

左下の赤いビックリマークの「セキュリティ」をタップ

この項目では、今自分が使用しているパスワードのうち、問題のあるパスワードが表示されています。
特に赤文字で「漏洩の危険があるパスワード」と表示されていた場合、そのIDとパスワードのセットは既に公の場に漏洩してしまっているため一発アウトです。

「使い回しのパスワード」や「推測が容易なパスワード」はセキュリティ的には危ないですが、まだ漏洩している訳ではないのでギリギリセーフです。

iOS18以前の場合

まだiOS18にアップデートしていない人は「設定→パスワード→セキュリティに関する勧告」から流出情報から確認ができます。

iOS18以前の場合は「設定」から確認

問題のあるパスワードがある場合、[優先順位:高]と[その他の勧告]に分かれますが、[優先順位:高]に載っているIDとパスワードのセットは既に公の場に漏洩してしまっているため一発アウトです。

[その他の勧告]では「使い回しのパスワード」や「推測が容易なパスワード」が挙げられています。セキュリティ的には危ないですが、まだ漏洩している訳ではないのでギリギリセーフです。

流出したパスワードを変えるのが面倒くさい人へ

上記のチェックを行った結果、既に自分のパスワードが流出していた人も多いのではないでしょうか。
流出していたパスワードが数個であれば対応にそこまで手間はかかりませんが、よく使い回していたパスワードが流出していた場合、ひどいときは数十、数百のサービスで対応を迫られる羽目になります。(実際に僕も約260のサイトでパスワードが漏洩しており、再設定で数日を費やしました。)

現時点で、漏洩していたパスワードを一括で再設定する方法はありません。なので漏洩に対応する場合、一つ一つのサイトで地道にパスワードを変更していく作業を強いられることになります。

非常に面倒くさい作業だと思います。ついつい目を背けて、後回しにしたくなるものです…
とはいえ、使っているサービスによってはもし不正アクセスをされてしまうと更に面倒な事態になる可能性も大いにあります。
一例を挙げれば、パスワードの流出が以下のような危険性につながる恐れが考えられるでしょう。

  • SNSのアカウントが乗っ取られてしまい、長年使っていたアカウントに入れなくなったり、そのアカウントを用いて知り合いに大量の迷惑DMを送られたりしてしまう。

  • 銀行口座からの不正送金やクレジットカードの不正利用

  • 電話番号が住所などの登録情報を見られてしまうことによる、更なる個人情報の流出

いずれもパスワードの変更より断然、対応が厄介なものばかりです。

人間とは不思議なもので、「別にパスワードが流出していても、自分が不正アクセスの被害に会うことなんて無いだろう」と謎に楽観的になってしまうものです。
そしていざ被害に会ってしまうと、その時初めて「あの時、流出に対応していれば…」と後悔するのが常でしょう。

後々の自分のためにも、もしパスワードの流出が確認できてしまったら、迅速に対応をしたほうがいいと思います。
特に銀行・証券・クレジットカード・通販サイト等のお金に関わるサービスや、よく使っているSNSといった不正アクセスによる被害が大きいと予想されるものに関しては、今すぐにでも危機感を持って対応をするべきでしょう。

パスワード流出の対処法

以降ではパスワードの流出が判明した際、現時点で自分が最も有効だと思っている対処法を紹介したいと思います。
ちなみに僕のデバイス環境は以下の通りです。

  • スマホ:iPhone (iOS18にアップデート済み), ブラウザはSafari

  • PC:Windows, ブラウザはChrome

この環境において、僕が最適だと感じた対処法を紹介していきます。
なおPCブラウザはMicrosoft EdgeやSafariでも今回紹介する方法が使えます。

流出に対する対処の原則

  1. 使い回しをしない:
    流出したパスワードを変更する際に別のパスワードを再び使い回してしまうと、万が一新しいパスワードが再度流出した際に再度全てのサイトで一から対処をやり直す必要が出てきます。
    パスワードを使い回さなければ、仮にパスワードが流出したとしても対処の手間がかからずにすみます。

  2. とはいえパスワード管理の手間は最小限にしたい:
    パスワードの使い回しをやめるということは即ち、今使用している数十、数百のサービスで個別のパスワードを設定するということになります。それら全てのパスワードを、例えばメモ帳などで管理するということは現実的とは思えません。
    セキュリティ対策としては、「パスワードの使い回しはしないが、利便性は損なわない」ということが望ましいでしょう。

  3. クラウドを最大限利用する:
    パスワードを個々の端末のみで管理すると、例えばスマホとPCといった別デバイスとの連携がとれなかったり、端末が故障してしまったときに管理していたパスワードが全て見れなくなってしまう、といったことが起こり得ます。
    デバイス間でのやりとりが容易で、かつバックアップもしやすいクラウドを最大限活用してパスワードを管理したいところです。

パスワード管理のベストプラクティス

これらの原則を満たすことができるパスワード管理方法を色々調べてみたのですが、現時点(2024/10/04)で自分が一番良さそうだと思った方法は以下の通りです。

  • iPhoneのパスワードアプリ(iOS18)を最大限に活用する。

    • パスワードは自分で考えるのではなく、全て自動生成されたパスワードを使用する。

    • パスワードは一切手動で入力せず、全て自動入力に任せる。

    • 全てのパスワードはiCloud上で保管

  • ChromeやEdgeといった Safari 以外のブラウザには、Apple純正の拡張機能を入れ、iCloudのパスワードと共有させる。

iPhoneパスワードアプリ

パスワードアプリについて、現時点で一番詳しく解説していた動画を貼っておきます。

この内容で特に大切だと思ったことをまとめると

  • パスワードは全てアプリ機能の「強力なパスワードの提案」で作られたものだけを使用する。

    • 例えば「hYqgim-rubfe9-vifpis」のような、推測されにくい強靭なパスワードを自動で提案してくれる。

    • サイトによってはパスワードにハイフンが使えなかったり、パスワード文字数に上限があったりするが、そのときは制限に合わせて作成されたパスワードに修正を加えればOK。

  • 自動入力の設定をしっかりする。

  • 一度設定してしまえば後は手間がかからない。

このあたりが特に押さえておきたいポイントだと思います。動画で解説をしているように、IDを非公開メールにしたり(有料)、2要素認証の設定をしたりすることもできますが、一旦は上記の箇条書きレベルのことをしておけばパスワード使い回しの頃より遥かにセキュリティ面で安全になるでしょう。

Chrome等のブラウザとの連携

Apple純正の拡張機能を使うと、Safari以外のブラウザでiCloudに保存したパスワードを使用することができます。
例えばChromeであれば以下の拡張機能がAppleより提供されています。

上記の管理方法のメリット/デメリット

メリット:

  1. 無料で実施できる:
    パスワード管理アプリはiCloudキーチェーン以外にも様々なものがありますが、中には月額制だったり、無料では一部の機能に制限がかかったりするものもあります。(例えば登録しているパスワードが漏洩しているか確認するには課金が必要、など)
    一方で今回紹介した方法は全て無料で実施することができるため、実施にあたってハードルが低いのではないでしょうか。

  2. 安全性が高い:
    iCloudキーチェーンには信頼されたデバイスからしかアクセスできないため、その他のデバイスからネットワーク越しにパスワードを取得することができません。その意味で安全性が高いといえるでしょう。

  3. スマホとPCでパスワードを共有できる:
    上記の方法だと、スマホとPC、どちらか片方で登録したパスワードがもう片方のデバイスに自動で反映されます。
    このことにより、普段スマホで使用していたサイトをPCでも利用する必要が出てきたとき等に、一々パスワードを思い出す必要がなくなります。

デメリット:

  1. 最初の設定が面倒:
    上で紹介した動画でも説明をしていますが、一部サイトではパスワードの自動保存が上手く働かないため、URLをコピペしてパスワードアプリを開いて設定を行う、といった作業が必要になることがあります。
    一度登録してしまえばこの作業は不要になりますが、とはいえ最初だけ手間がかかってしまいます。

  2. Safari以外のブラウザで自動入力が制限される:
    現時点では、Chrome等に拡張機能を入れてiCloudキーチェーンを使うと、クレジットカード情報等の自動入力機能が制限されてしまいます。
    クレカ登録の際に一々財布からカードを取り出して手打ちで入力する必要が出てくるのは非常に手間でしょう。
    とはいえ、こちらも大抵の場合はサイトごとに支払い方法を登録してしまえば後は作業が不要になるため、面倒なのは最初の一回だけとなります。

上記のように、今回紹介した方法にはデメリットも存在しますが、安全性の低いパスワードを使うことによる不正アクセスの可能性や、使い回していたパスワードが流出してしまった際の対応の手間を考慮すると、今挙げたデメリット以上の恩恵は受けられるのではないかと思っています。

まとめ

以上、今回はiPhoneのパスワード流出チェックと、漏洩してたときの対処法について紹介させていただきました。
セキュリティ対策とは普段、どうしてもないがしろにしてしまいがちなものです。そのような中、もしこの記事が皆さんにとってセキュリティに目を向けなおすきっかけとなったのであればとても嬉しいと思います。

もしこの記事を気に入っていただけたら、是非いいねを押してもらえると嬉しいです。それでは、最後までお付き合いくださりありがとうございました。


この記事が気に入ったらサポートをしてみませんか?