Gmailのパスワードが500万件流出！？確認方法を紹介します

Googleが提供するメールサービス「Gmail」のパスワードとメールアドレスが約500万件も流出する事件が発生しました。

Gmailを利用している人はもちろん、Androidを使っている人にも影響があります。自分のGmailのパスワードが流出しているかどうか必ず確認しておきましょう。

Gmailのパスワードが流出しているか調べる方法

今回紹介する方法では海外のウェブサイトで公開されているチェックツールを利用しますが、その前にGmailなどに不正なログインが行われたかを確認しましょう。

• 最近のアクティビティ – アカウント設定

上記のサイトにアクセスするとGmailを含め、自分のGoogleアカウントのログイン履歴を確認することができます。


覚えのない日付や自分が所有していない端末および住所からログインされている場合は、不審なアクティビティが検出されて画面上に表示されます。

今回の件に関わらず第三者が不正アクセスを試みた可能性があるので、パスワードを変更するなり、アカウントを削除するなりといった対応を取りましょう。

今回の流出した500万件のメールアドレスとパスワードの中に自分のものが含まれるかを以下のサイトで確認することができます。ただ、メールアドレスを取得（一応、取得していないと書かれてはいますが）するなど悪用目的も考えられるので個人の判断で利用するようにしてください。

• Is leaked?

流出したかを確認するには、テキストボックスに自分のGmailのアドレスを入力しましょう。上記のサイトではメールアドレスを保存しないと主張していますが、念のため「a*c*e*@gmail.com」という形でアスタリスク（3文字まで使えます）を使ってメールアドレスを一部隠す形で検索をしましょう。


あとは「Check it！」をクリックすると、入力したGmailアカウントのパスワードが流出していないか調べることができます。

以下の画像のように「No! Your account probably is not in public access!」と表示されれば、流出していません。


「Yes! There is * matches in database! Immediately change your password!」と表示された場合は、Gmailのメールアドレスとパスワードが流出しているので、Gmailのパスワードを変更するなり、アカウントの削除などの対応をしましょう。

対応策：Gmailのアカウントには必ず2段階認証を設定しましょう

Gmailは最も有名なメールサービスで、利用している人も膨大であることからかなり狙われやすく、アカウントの乗っ取りなどの事件が度々起きています。

GmailなどGoogleのサービスにログインする際にパスワードのほかにワンタイムパスワードが求められる2段階認証を必ず設定しておきましょう。

▼2段階認証の設定方法は以下のエントリーで詳しく書いています

• 【詳解】Googleアカウントの乗っ取り行為が大流行、2段階認証で対策を！
• 2段階認証コードをアプリで受け取れる「Google認証システム（Google Authenticator）」の導入方法と使い方

流出したパスワードには、既に変更されたものや利用されていないものも含まれるとの情報

The Daily Dotによれば、今回流出したGmailのメールアドレスとパスワードは、ロシアのフォーラムで公開されたそうです。しかし、Googleの担当者によれば流出したパスワードには既に変更されたものや長い間使われていなものが多く含まれているとのこと。

Nearly 5 million usernames and passwords appear to have been published on a Russian Bitcoin forum.

引用元：5 million Gmail passwords leaked to Russian Bitcoin forum

さらに、Gmailのパスワードの流出元はGoogleからではなく、海外のサイトから流出したメールアドレスとパスワードのうち、Gmailのものだけを流出させたという情報もあるため、流出したGmailのアドレスとパスワードの件数よりも影響は少ないかもしれません。

Instead, it looks like these are passwords leaked from other web sites over the years that were associated with Gmail addresses.

引用元：5 Million Online Passwords Leaked, Check Yours Now [Updated]

とは言ってもどれだけ用心しても良いのがセキュリティですから、これを機会に2段階認証の導入は必ずやっておくことをオススメします。

[2014/09/09 8:59 更新]
チェックツールを利用する前にGoogleアカウントのログイン履歴を確認する方法を追加しました。また、Googleからの流出ではないことが確認できたため、記事のタイトルを変更しました。

[2014/09/09 12:50 更新]
Googleがこの件に関して調査を行ったところ、Googleから流出したわけではないことや流出したメールアドレスとパスワードのうち2％（約10万件）未満しか有効でなかったことを明らかにしました。

We found that less than 2% of the username and password combinations might have worked,

引用元：Google Online Security Blog: Cleaning up after password dumps