iPhoneを利用していて、通知センターから「侵害されたパスワード」という通知を受け取ったことがあるでしょうか。突然このような通知が表示されたら驚いてしまいます。もしパスワードがどこかに漏れているのなら一大事です。
本記事では、iPhoneの「侵害されたパスワード」とはいったい何なのか、通知が表示されたら放置してよいのか、どう対処すべきかなど、気になるポイントをまとめました。
「侵害されたパスワード」とは?
「侵害されたパスワード」は、iCloudキーチェーンが持つパスワードの監視機能です。保管されているパスワードをチェックし、安全性が低いと識別された場合に通知センターからスマホ画面にサジェスト表示される可能性があります。
安全性が低いと見なされるパスワードは、おもに次のケースです。
- ありふれたパスワードが使われている
- 再利用されている
- 漏洩したデータに含まれている
このうち、はじめの2つは端末上の処理にのみ基づいて識別されます。ありふれたパスワードというのは、「password」や「123123」など、辞書にある単語や、覚えやすく簡単に推測されてしまいそうなパスワードのことです。また再利用については、同じパスワードをいくつものWebサイトやアプリで使い回していることを指しています。
3つ目の「漏洩したデータに含まれている」は、リストとの照合をもとにしています。実際にインターネット上に漏洩しているパスワードのリストをAppleから受け取り、使っているパスワードがそこに含まれていないかをチェックしています。パスワードが漏洩したデータに含まれている恐れがあると、通知が表示される仕組みです(この過程でAppleにパスワードが伝わることはありません)。
通知が出たが放置すると危険?
「侵害されたパスワード」通知のイメージ
「侵害されたパスワード」が表示されたからといって、ただちにアカウントが不正に利用されるわけではありません。ありふれたパスワードや、再利用のパスワードに注意が勧告されただけということも多いです。
だからといって、放置していいというわけではありません。繰り返し使っているパスワードが漏洩した場合、複数のWebサイトでアカウントが不正利用される恐れがあります。通知が表示されたら、なるべく早く対処が必要です。
パスワードが侵害されているかどうかを確認する
安全性の低いパスワードを確認する
「自分のiPhoneには通知が表示されていないから安心だ」と思うのは早計です。安全性の低いパスワードは、「設定」アプリの[パスワード]→[セキュリティに関する勧告]で確認できます。気づかなかっただけで、安全性の低いパスワードが山のように検出されていた、ということも少なくありません。
また上の画像には写っていませんが、リストでは「多くの人に使われている」「データ漏洩で検出されたことがある」「その他のWebサイトで使いまわしされている」など、勧告の理由が表示されています。優先順位の高いものから表示されるので、上から順に検討していくとよいでしょう。
実際にどのように対処していくかを、次で見ていきます。
侵害されたパスワードと表示されたときの対応
侵害されたパスワードの通知が表示されたら、「設定」アプリの[パスワード]→[セキュリティに関する勧告]を開いて、優先順位の高いものから対処していきましょう。
リスト上のアイテムをタップすると、ユーザー名やパスワードとともに、勧告の詳しい内容と対処するためのオプションが表示されます。
パスワードを削除する
もう利用できなくなっているWebサイトやアプリで勧告が表示されている場合は、パスワードを削除できます。[パスワードを削除]ボタンをタップして、パスワードを削除します。
ただし、iCloudキーチェーンからパスワードを削除できるだけで、Webサイトやアプリのアカウントから削除されるわけではありません。今でもアクセスできるサービスやアプリで、勧告が表示されている場合、将来的なリスクになりえます。次の方法でパスワードを変更しておくのが安心です。
パスワードを変更する
安全性が低いアカウントへの対処法として、最も基本となるのがパスワード変更です。タップすると、Webサイトやパスワードを変更するためのページにアクセスするので、サインインして新しいパスワードに変更します。
パスワードを変更する手順
今回はTwitterのパスワードを変更する手順を紹介します。
セキュリティに関する勧告に表示されたアプリ/Webサイトの中から「Twitter」を選んだら、[Webサイトのパスワードを変更...]をタップします。
ブラウザでTwitterのログイン画面が表示されるので、ユーザー名とパスワードを入力して、ログインしましょう。
マイページの[設定とプライバシー]から[アカウント]を選び、[パスワードを変更する]をタップすれば、パスワードを変更できます。
あとは、新しいパスワードを入力すれば変更は完了です。
パスワードの「自動入力」で「iCloudキーチェーン」を有効にしている場合は、より複雑なパスワードを作成する機能が使えます。[強力なパスワードを使用]をタップすれば、自動で作成されたパスワードで登録されます。生成されたパスワードはiCloudキーチェーンに保存されるので、覚えておく必要がありません。同じパスワードを流用している場合、特に検討したいポイントです。
パスワードを変更すると、新しい設定が「パスワード」の一覧に保存されます。通常、古いパスワード情報は削除されますが、そのまま残ってしまうこともあるので適宜削除しておきましょう。
なお、Webサービスやアプリによっては、UIの設計によりパスワードの変更画面にたどり着けないことがあります。この場合は、デスクトップのブラウザやアプリからパスワードの変更を試みてください。
「Appleでサインイン」にアップグレードする
「Appleでサインイン」をサポートしているサービスでは、パスワードを変更する際に、「Appleでサインイン」に変更またはリンク(紐付け)できることがあります。非公開のメールアドレスとApple IDアカウントを紐付けてサインインする機能で、新しいパスワードを設定する必要がなく、安全にサインインできます。
設定方法はWebサイトごとに異なります。[Webサイトのパスワードを更新]からサイトにサインインするまでは、パスワードの更新と同じですが、あとはメニューに従って操作してください。ここでは「IFTTT」というサービスに「Appleでサインイン」にリンクさせる手順を解説します。
Appleでサインインに変更する手順
セキュリティに関する勧告に表示されたアプリ/Webサイトの中から「IFTTT」を選び、ブラウザで開きます。設定からサインインして[Account]を選び、Linked accountsの画面でApple IDの[Link your account]を選択します。サインインの確認画面が表示されるので、[続ける]をタップすればApple IDとリンクは完了です。
IFTTTのように、Apple IDでサインインへの切り替えではなく、アカウントにリンクしただけの場合は、以前のパスワードが残っています。パスワードも同時に変更したほうが無難です。
確認コードを設定する
サービスが二段階認証をサポートしている場合は、パスワード認証後に確認コードを要求するように設定できます。確認コードを設定すると、「パスワード」に確認コードが表示されるようになり、セキュリティが格段に上がります。
ただし「設定」アプリから確認コードを設定すると、「パスワード」→「アプリ」と階層が深く、常用には不向きなところがあります。他に使っている認証アプリ(「Google Authenticator」や「Microsoft Authenticator」など)があれば、そちらを利用したほうが利便性は高いでしょう。
また「設定」アプリを使って確認コードを設定するときは、途中でQRコードのスキャンや設定キーの入力が必要になります。デスクトップなどでサインインをおこないながら操作を進めていくのがおすすめです。
確認コードを設定する手順
今回は、IFTTTでの設定方法を解説します。細かい操作方法はサービスごとに異なりますが、基本的には、(1)WebサイトでQRコードを表示してiPhoneでスキャン、(2)スキャン後に表示されたコードを入力して認証をおこなうという手順で操作します。
確認コードは通常、パスワード認証と併用します。「Appleでサインイン」に切り替えている場合は、Apple IDの二段階認証が利用できるため、確認コードを設定する必要はありません。
![[Enable two-step verification]をクリック](/sites/default/files/styles/landscape_sm_1/public/2022/02/17/r-iphone-invasion-password-13.jpg)
まずはデスクトップでサービスにサインインしたあと、アカウントの画面から[Enable two-step verification]をクリックします。
![[Use an authenticator app]をクリックする](/sites/default/files/styles/landscape_sm_1/public/2022/02/17/r-iphone-invasion-password-14.jpg)
[Use an authenticator app]をクリックする
次に、認証方法を選びます。ここでは[Use an authenticator app]をクリックしてください。
確認コードを登録するためのQRコードが表示されるので、デスクトップの画面を開いたまま、手持ちのiPhoneで読み込みましょう。
![[確認コードを設定]→[QRコードをスキャン]をタップ](/sites/default/files/styles/portrait_sm_1/public/2022/02/17/r-iphone-invasion-password-16.jpg)
![[確認コードを設定]→[QRコードをスキャン]をタップ](/sites/default/files/styles/portrait_sm_1/public/2022/02/17/r-iphone-invasion-password-17.jpg)
[確認コードを設定]→[QRコードをスキャン]をタップ
iPhoneでの読み込みが完了したら、「設定」アプリの[パスワード]を開きます。Webサイト(IFTTT)の詳細を選択し、[確認コードを設定]→[QRコードをスキャン]を続けてタップしてください。
スキャン後に表示されたコードを入力すると、バックアップ用のコードが表示されるので、スクリーンショットを撮影するなどして保存しておきましょう。
デスクトップ画面のチェックボックスにチェックを入れて、[Accept]をクリックすれば登録は完了です。
サインイン時に確認コードに表示されている6桁の数字が必要になる
次回からは、サインインするときに確認コードの入力が求められます。「パスワード」に表示される確認コードを入力しないとサインインできないので注意してください。
侵害されたパスワードを表示する設定を解除する
セキュリティに関する勧告は、iCloudキーチェーンに保管されているパスワードだけを対象にしています。セキュリティの強力なサードパーティのパスワードマネージャに乗り換えた後や、iCloudキーチェーンを使わなくなったあとでも、古いパスワードが残っていると表示されることがあります。
iCloudキーチェーンを使っていなかったり、すでに十分な対策をしていたりするなら、パスワードの監視をオフにしても問題ないかもしれません。
![[漏洩の危険があるパスワードを…]をオフ](/sites/default/files/styles/portrait_sm_1/public/2022/02/17/r-iphone-invasion-password-20.jpg)
[漏洩の危険があるパスワードを…]をオフ
その場合、「設定」アプリで[パスワード]→[セキュリティに関する勧告]の画面を開き、「漏洩の危険があるパスワード…」をオフにすれば勧告が表示されなくなります。