パスワード アラートによるフィッシング防止に関するよくある質問

ここでは、フィッシング攻撃の防止に使用されるパスワード アラート拡張機能に関するよくある質問をいくつかご紹介します。パスワード アラートをインストールする手順については、ユーザーに対するフィッシング攻撃を防止するパスワード アラートでフィッシングを防止するをご覧ください。

パスワード アラートとは何ですか?

パスワード アラートは、G Suite や Cloud Identity のユーザーがフィッシング攻撃を防ぐのに役立つ Chrome 拡張機能です。ユーザーが Google のログインページ以外のウェブサイトで Google のパスワードを入力すると、パスワード アラートによってその入力が検出されます。

また、パスワード アラート サーバーを導入することで、管理者はパスワード アラートの監査を有効にしたり、メールアラートを送信したり、信頼できないウェブサイトでユーザーがパスワードを入力したときに Google のパスワードの変更を求めたりできます。

Chrome パスワード アラート ポリシーとは何ですか?パスワード アラートとの違いは何ですか?

Chrome 拡張機能であるパスワード アラートの機能の多くは、Chrome パスワード アラート ポリシーを介して使用できます。Chrome パスワード アラート ポリシーは Chrome にネイティブで実装されており、これによりポリシーを一律に導入し、Chrome をサポートするすべてのプラットフォームについてレポートすることができます。

Chrome パスワード アラート ポリシーは、G Suite や Cloud Identity をご使用でない組織でもご利用いただけます。現在のところ、Chrome パスワード アラート ポリシーには、アラートを監査、管理するためのパスワード アラート サーバーはありません。

Chrome 拡張機能のパスワード アラートと Chrome パスワード アラート ポリシーの両方を設定すると、管理者やユーザーに 2 つの組のアラートが表示されます。アラートの重複を避けるには、パスワード アラート拡張機能を無効にします。

管理対象の Google アカウントのパスワードを他のアカウントでも使えますか?

いいえ。管理対象の Google アカウント(G Suite、Cloud Identity など)のパスワードを Google 以外のサイトで入力するとパスワード アラートが起動します。パスワードを他のアカウントで最初に使用するときには、常に警告が表示されます。パスワードを再設定するか、この警告を特定のアカウントで表示しないようにするかを選択できます。

Gmail ユーザーの場合は、特定のウェブサイトで警告を一切表示しないようにすることもできます。同じパスワードを複数のアカウントで使い回すと、1 つのアカウントのパスワードが盗まれた場合に、攻撃者がそのパスワードを他のアカウントにも使用し、認証情報を再利用して侵入を試みる可能性が高まります。

Chrome を使用していない場合にも利用できますか?

パスワード アラートは G Suite ユーザーと Cloud Identity ユーザーが対象であり、現在のところ Chrome ウェブブラウザの Chrome 拡張機能としてのみ利用できます。管理者は、Chrome のポリシーを使用してパスワード アラートをドメイン全体に導入することができます。さらに、ドメイン全体のアラートを監視するように Google App Engine インスタンスを設定できます。従来のブラウザを使用している場合は、従来のブラウザのサポートをご覧ください。

パスワード アラートはマルチログインに対応していますか?

パスワード アラートでは、有効な Chrome プロフィールを使用して、現在保護されているアカウントを判断します。このため、複数の Google アカウントに対してパスワード アラートをインストールする場合は、複数の Chrome プロフィールをご使用ください。

パスワード アラートはどの時点で有効になりますか?

拡張機能のインストール後、次に accounts.google.com にログインすると、パスワード アラートが起動します(JavaScript® が有効になっている必要があります)。また、管理対象の Google アカウントをご利用のユーザーは Chrome にログインしている必要があります。

パスワード アラートはどのようにしてパスワードを記憶しますか?

Google アカウントに正常にログインするたびに、パスワード アラートは一時的に正しいパスワードにアクセスし、パスワードのビット数を減らしてソルト値を加えたサムネイルを Chrome のローカル ストレージに保存します。そして accounts.google.com(または、Google Cloud ドメインの場合は管理者がホワイトリストに登録したウェブサイト)以外のウェブサイトでパスワードを入力するたびにこのサムネイルと比較します。

パスワードを保護するツールには他にどのようなものがありますか?

Gmail ユーザーの場合は、FIDO Universal 2nd Factor(U2F)セキュリティ キーがパスワードのフィッシングを防止するために有効です。

パスワード アラートと Chrome 組み込みのセーフ ブラウジング機能とはどこが違いますか?

Chrome では事前にフィッシング ページの検出を試みていますが、不正なログインページを検出できない可能性もあります。パスワード アラートは accounts.google.com(または、Google Cloud ドメインの場合は管理者がホワイトリストに登録したウェブサイト)以外のウェブサイトでのパスワード入力を毎回検出します。

パスワード アラートでは 8 文字未満の Google のパスワードに対応していますか?

いいえ。パスワード アラートでは、パスワードは 8 文字以上である必要があります。8 文字未満の既存の Google のパスワードは変更する必要があります。

パスワード アラートはキー入力を記録しますか?

いいえ。パスワード アラートは、キー入力をハードディスクに保存したり、リモート システムに送信したりすることはありません。

Google Cloud ユーザーにパスワード アラート アプリケーションは必要ですか?

必要ありません。パスワード アラート アプリケーションが必要になるのは、アラートを監査する場合、メールアラートを送信する場合、ユーザーが信頼できないウェブサイトでパスワードを入力したときに Google のパスワードの変更を求める場合のみです。

パスワード アラート アプリケーションにレポートを送信するようにパスワード アラートを設定しました。ユーザーにバナー通知が表示されなくなったのはなぜですか?

アプリケーションにレポートを送信するようにパスワード アラートを設定すると、通知はセキュリティ グループやユーザーにメールでのみ送信されます。詳しくは、パスワード アラート アプリケーションの設定ファイルの [Enforcement] の項目をご覧ください。

パスワード アラート アプリケーションと App Engine インスタンスの違いは何ですか?

パスワード アラート アプリケーションは Google が管理しますが、App Engine インスタンスは貴社のチームが管理します。

管理コンソールに [Host Status] として表示される [Mute] と [Allowed] の違いは何ですか?

Allowed - セキュリティに関する警告が表示されることも、ユーザーのパスワードが期限切れになることもありません。パスワードを再利用できるホストをホワイトリストに登録するには、この状態を使用します

Mute - セキュリティに関する警告は表示されませんが、ユーザーのパスワードが期限切れになります。通常は、正当なウェブサイト(login.yahoo.com など)でパスワードの再利用が検出された場合にホスト名をミュートします。

Unknown - セキュリティに関する警告が表示され、ユーザーのパスワードが期限切れになります。これは、accounts.google.com と managed_policy_values.txt(SSO_URL)で指定した SSO URL を除く、すべてのホストのデフォルト状態です。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。