ここでは、フィッシング攻撃の防止に使用されるパスワード アラート拡張機能に関するよくある質問をいくつかご紹介します。パスワード アラートをインストールする手順については、ユーザーに対するフィッシング攻撃の防止やパスワード アラートでフィッシングを防止するをご覧ください。
パスワード アラートとは何ですか?パスワード アラートは、Google Workspace や Cloud Identity のユーザーがフィッシング攻撃を防ぐのに役立つ Chrome 拡張機能です。ユーザーが Google のログインページ以外のウェブサイトで Google のパスワードを入力すると、パスワード アラートによってその入力が検出されます。
また、パスワード アラート サーバーを導入することで、管理者はパスワード アラートの監査を有効にしたり、メールアラートを送信したり、信頼できないウェブサイトでユーザーがパスワードを入力したときに Google のパスワードの変更を求めたりできます。
Chrome 拡張機能であるパスワード アラートの機能の多くは、Chrome パスワード アラート ポリシーを介して使用できます。Chrome パスワード アラート ポリシーは Chrome にネイティブで実装されており、これによりポリシーを一律に導入し、Chrome をサポートするすべてのプラットフォームについてレポートすることができます。
Chrome パスワード アラート ポリシーは、Google Workspace や Cloud Identity をご使用でない組織でもご利用いただけます。現在のところ、Chrome パスワード アラート ポリシーには、アラートを監査、管理するためのパスワード アラート サーバーはありません。
Chrome 拡張機能のパスワード アラートと Chrome パスワード アラート ポリシーの両方を設定すると、管理者やユーザーに 2 つの組のアラートが表示されます。アラートの重複を避けるには、パスワード アラート拡張機能を無効にします。
いいえ。管理対象の Google アカウント(Google Workspace や Cloud Identity など)のパスワードを Google 以外のサイトで入力するとパスワード アラートが発生します。これと同じパスワードを他のアカウントで最初に使用するときには、常に警告が表示されます。パスワードを再設定するか、この警告を特定のアカウントで表示しないようにするかを選択できます。
Gmail ユーザーの場合は、特定のウェブサイトで警告を一切表示しないようにすることもできます。同じパスワードを複数のアカウントで使い回すと、1 つのアカウントのパスワードが盗まれた場合に、攻撃者がそのパスワードを他のアカウントにも使用し、認証情報を再利用して侵入を試みる可能性が高まります。
パスワード アラートは Google Workspace ユーザーと Cloud Identity ユーザーが対象であり、現在のところ Chrome ウェブブラウザの Chrome 拡張機能としてのみ利用できます。管理者は、Chrome のポリシーを使用してパスワード アラートをドメイン全体に導入することができます。さらに、ドメイン全体のアラートを監視するように Google App Engine インスタンスを設定できます。従来のブラウザを使用している場合は、従来のブラウザのサポートをご覧ください。
パスワード アラートでは、有効な Chrome プロフィールを使用して、現在保護されているアカウントを判断します。このため、複数の Google アカウントに対してパスワード アラートをインストールする場合は、複数の Chrome プロフィールをご使用ください。
拡張機能のインストール後、次に accounts.google.com にログインすると、パスワード アラートが起動しますが、JavaScript が有効になっている必要があります。また、管理対象の Google アカウントをご利用のユーザーは Chrome にログインしている必要があります。
Google アカウントに正常にログインするたびに、パスワード アラートは一時的に正しいパスワードにアクセスし、パスワードのビット数を減らしてソルト値を加えたサムネイルを Chrome のローカル ストレージに保存します。そして accounts.google.com(または、Google Cloud ドメインの場合は管理者が許可リストに登録したウェブサイト)以外のウェブサイトでパスワードを入力するたびにこのサムネイルと比較します。
Gmail ユーザーの場合は、FIDO Universal 2nd Factor(U2F)セキュリティ キーがパスワードのフィッシングを防止するために有効です。
Chrome では事前にフィッシング ページの検出を試みていますが、不正なログインページを検出できない可能性もあります。パスワード アラートは accounts.google.com(または、Google Cloud ドメインの場合は管理者が許可リストに登録したウェブサイト)以外のウェブサイトでのパスワード入力を毎回検出します。
いいえ。パスワード アラートでは、パスワードは 8 文字以上である必要があります。8 文字未満の既存の Google のパスワードは変更する必要があります。
いいえ。パスワード アラートは、キー入力をハードディスクに保存したり、リモート システムに送信したりすることはありません。
必要ありません。パスワード アラート アプリケーションが必要になるのは、アラートを監査する場合、メールアラートを送信する場合、ユーザーが信頼できないウェブサイトでパスワードを入力したときに Google のパスワードの変更を求める場合のみです。
アプリケーションにレポートを送信するようにパスワード アラートを設定すると、通知はセキュリティ グループやユーザーにメールでのみ送信されます。詳しくは、パスワード アラート アプリケーションの設定ファイルの [Enforcement] の項目をご覧ください。
パスワード アラート アプリケーションと App Engine インスタンスの違いは何ですか?パスワード アラート アプリケーションは Google が管理しますが、App Engine インスタンスは貴社のチームが管理します。
Allowed - セキュリティに関する警告が表示されることも、ユーザーのパスワードが期限切れになることもありません。パスワードを再利用できるホストを許可リストに登録するには、この状態を使用します。
Mute - セキュリティに関する警告は表示されませんが、ユーザーのパスワードが期限切れになります。通常は、正当なウェブサイト(login.yahoo.com など)でパスワードの再利用が検出された場合にホスト名をミュートします。
Unknown - セキュリティに関する警告が表示され、ユーザーのパスワードが期限切れになります。これは、accounts.google.com と managed_policy_values.txt(SSO_URL)で指定した SSO URL を除く、すべてのホストのデフォルト状態です。
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。
