パスワードの再利用を防ぐ

Chrome(バージョン 69 以降)

管理対象の Chrome ブラウザ(Windows 版、Mac 版、Linux 版)が対象です。

Chrome の管理者は、危険なウェブサイトや組織のホワイトリストに登録されていないウェブサイトで、ユーザーがパスワードを使用するのを防ぐことができます。パスワードの再利用を複数のウェブサイトにわたって防止することで、組織のアカウントを不正使用から保護できます。

始める前に

組織でパスワード アラート拡張機能を使用している場合、パスワードを再利用すると 2 種類のアラートがユーザーに表示される場合があります。この拡張機能をオフにすると、管理者にもユーザーにも拡張機能のアラートが表示されなくなります。パスワード アラートが発生したときに、管理者のみに引き続きアラートが表示されるようにするには、パスワード アラート拡張機能の display_user_alert 設定を false にします。

ステップ 1: ポリシーを確認する

以下のポリシーを必要に応じて組み合わせて設定できます。

ポリシー 説明と設定

PasswordProtectionChangePasswordURL

次の場合は必須です。

  • G Suite とシングル サインオン(SSO)を利用している場合
  • G Suite を利用していない場合

ユーザーがパスワードの変更のためにリダイレクトされるウェブページの URL を指定します。ユーザーがホワイトリストに登録されていないウェブサイトでパスワードを再利用している場合や、フィッシング詐欺の標的となっている場合、パスワードの変更を求めるメッセージがユーザーに表示されます。

ユーザーがパスワードを変更すると、パスワードはハッシュ アルゴリズムによってスクランブルされます。パスワードのハッシュは保存され、パスワードの再利用を検出するために使用されます。

パスワード変更 URL を指定する際は、URL がこちらのガイドラインに準拠していることをご確認ください。

未設定の場合: G Suite ユーザーの場合、パスワードを変更する際は Google アカウントにリダイレクトされます。

PasswordProtectionLoginURLs

次の場合は必須です。

  • G Suite と SSO を利用している場合
  • G Suite を利用していない場合

ユーザーが普段自分のアカウントにログインするときにパスワードを入力するウェブページの URL を指定します。ログイン プロセスが 2 ページに分割されている場合は、ユーザーがパスワードを入力するウェブページの URL を追加します。

ユーザーがパスワードを入力すると、そのハッシュが保存され、パスワードの再利用の検出に使用されます。

パスワード変更 URL を指定する際は、URL がこちらのガイドラインに準拠していることをご確認ください。

未設定の場合: Chrome はログインページでパスワード ハッシュのみを取得し、パスワードの再利用を検出します。

PasswordProtectionWarningTrigger

ウェブサイトでパスワードの再利用を検出するかどうかを指定します。

次のいずれかのオプションを選択します。

0-PasswordProtectionWarningOff: パスワードの再利用は検出されません。

1-PasswordProtectionWarningOnPasswordReuse: ホワイトリストに登録していないウェブサイトでパスワードが再利用された場合に、パスワードの再利用が検出されます。パスワードの変更を求めるメッセージがユーザーに表示されます。

2-PasswordProtectionWarningOnPhishingReuse: ホワイトリストに登録していないウェブサイトでパスワードが再利用された場合に、Chrome はその URL を Google セーフ ブラウジングに送信して評価を行います。ウェブサイトにフィッシング コンテンツが含まれている場合は、パスワードの変更を求めるメッセージがユーザーに表示されます。

未設定の場合:
上記のとおり、2-PasswordProtectionWarningOnPhishingReuse がデフォルトになります。

SafeBrowsingEnabled

セーフ ブラウジング機能を有効にします。

このポリシーをオフにすると、パスワード保護を含むすべてのセーフ ブランジング機能がオフになります。

未設定の場合: セーフ ブラウジングはオンになっています。この値は変更可能です。

SafeBrowsingWhitelistDomains

Google のセーフ ブラウジング リストに記載されている URL で例外とするドメインを指定します。ホワイトリストに登録されているドメインについては、以下の確認が行われません。
  • パスワードの再利用
  • フィッシング サイトや不正なソーシャル エンジニアリング サイト
  • マルウェアや不要なソフトウェアをホストするサイト
  • 有害なダウンロード

未設定の場合: PasswordProtectionLoginURLsPasswordProtectionChangePasswordURL に記載されている URL は、パスワードの再利用検出のホワイトリストに自動的に登録されます。その他の URL はすべてセーフ ブラウジングの確認対象となります。

ステップ 2: ポリシーを設定する

これらのポリシーの管理方法に基づき、以下のリンクをクリックして手順を確認してください。

Windows

Chrome ブラウザで管理対象のアカウントにログインしている Windows ユーザーに適用されます。
次のポリシーを設定するには、Microsoft® Active Directory® を使用するドメインに参加している必要があります。
  • パスワード変更 URL
  • ログイン URL
  • ホワイトリスト登録済みドメイン

グループ ポリシーを使用する

Microsoft Windows のグループ ポリシー管理エディタ([コンピューターの構成] または [ユーザーの構成] フォルダ)で、次の操作を行います。

  1. [ポリシー次に [管理用テンプレート次に [Google次に [Google Chrome] に移動します。
  2. [セーフ ブラウジングを有効にする] をオンにします。
    ヒント: このポリシーが表示されない場合は、最新のポリシー テンプレートをダウンロードしてください。
    このポリシーを未設定のままにした場合は、上記の未設定の場合の条件が適用されます。
  3. [セーフ ブラウジングによる警告の表示を行わないドメインのリストを設定する] を有効にします。
    このポリシーを未設定のままにした場合は、上記の未設定の場合の条件が適用されます。
  4. ユーザーによるパスワードの再利用を許可するドメインを追加します。
  5. [パスワード保護について警告する場合のトリガー] を有効にします。
    このポリシーを未設定のままにした場合は、上記の未設定の場合の条件が適用されます。
  6. 次のいずれかのオプションを設定します。
    • パスワード保護について警告しない - パスワードの再利用は検出されません。
    • パスワードが再使用されたときに、パスワード保護について警告する - ホワイトリストに登録されていないウェブサイトでユーザーがパスワードを再利用すると、パスワードの再利用が検出されます。
    • フィッシング ページでパスワードが再使用されたときに、パスワード保護について警告する - セーフ ブラウジング リストに記載されているウェブサイトでパスワードを再利用すると、パスワードの再利用が検出されます。
  7. [パスワード変更 URL を設定する] を有効にします。
    このポリシーを未設定のままにした場合は、上記の未設定の場合の条件が適用されます。
  8. ユーザーにパスワードの変更を求めるウェブページの URL を追加します。
  9. [パスワード保護サービスでパスワードとして指紋による認証を行う対象となる、企業のログイン URL のリストを設定します] を有効にします。
    このポリシーを未設定のままにした場合は、上記の未設定の場合の条件が適用されます。
  10. ユーザーが普段 Chrome ブラウザにログインしているウェブページの URL を追加します。
  11. 更新をユーザーに展開します。

Mac

Chrome ブラウザで管理対象アカウントにログインしている Mac ユーザーが対象です。
Chrome の構成プロファイルで次のキーを追加するか、すでに存在する場合は更新し、変更をユーザーに展開します。
  • <SafeBrowsingEnabled> キーを true に設定します。
  • セーフ ブラウジングをオフにするドメインを <SafeBrowsingWhitelistDomains> キーに追加します。
  • <PasswordProtectionWarningTrigger> キーを <integer>value</integer> に設定します。<value> には 0、1、2 のいずれかを指定します。
  • ユーザーにパスワードの変更を求めるウェブページの URL を <PasswordProtectionChangePasswordURL> キーに追加します。
  • ユーザーが普段 Chrome ブラウザにログインしているウェブページの URL を <PasswordProtectionLoginURLs> キーに追加します。

この例では、以下を設定する方法を紹介します。

  • 危険なウェブサイトを特定しやすいよう、セーフ ブラウジングをオンにする。
  • ユーザーが普段パスワードを入力しているウェブページを指定する。
  • パスワードの再利用について確認しないドメインをホワイトリストに登録する。
  • ホワイトリストに登録されていないウェブサイトでのパスワードの再利用を検出する。
  • ユーザーにパスワードの変更を求めるメッセージを表示するウェブページを設定する。
<key>SafeBrowsingEnabled</key>
<dict>
   <true/>
</dict>
<key>PasswordProtectionWarningTrigger</key>
<dict>
   <integer>1</integer>
</dict>
<key>PasswordProtectionChangePasswordURL</key>
<dict>
   <string>https://mydomain.com/change_password.html</string>
</dict>
<key>PasswordProtectionLoginURLs</key>
<dict>
<array>
  <string>https://mydomain.com/login.html</string>
  <string>https://login.mydomain.com</string>
</array>
</dict>
<key>SafeBrowsingWhitelistDomains</key>
<dict>
<array>
  <string>mydomain.com</string>
  <string>myuniversity.edu</string>
</array>
</dict>

Linux

Chrome ブラウザで管理対象アカウントにログインしている Linux ユーザーが対象です。

任意の JSON ファイル エディタを使用して次の操作を行います。

  1. /etc/opt/chrome/policies/managed フォルダに移動します。
  2. JSON ファイルを作成するか、すでに存在する場合は更新します。
  3. SafeBrowsingEnabled1 に設定します。
  4. PasswordProtectionWarningTrigger012 のいずれかに設定します。
  5. 必要に応じて以下に URL を入力します。
    • PasswordProtectionChangePasswordURL に、ユーザーがパスワードを変更するウェブページの URL を追加します。
    • PasswordProtectionLoginURLs にユーザーが普段 Chrome ブラウザにログインしているウェブページの URL を追加します。
    • SafeBrowsingWhitelistDomains にセーフ ブラウジングをオフにするドメインを追加します。
  6. 更新をユーザーに展開します。

この例では、以下を設定する方法を紹介します。

  • 危険なウェブサイトを特定しやすいよう、セーフ ブラウジングをオンにする。
  • ユーザーが普段パスワードを入力しているウェブページを指定する。
  • パスワードの再利用について確認しないドメインをホワイトリストに登録する。
  • ホワイトリストに登録されていないウェブサイトでのパスワードの再利用を検出する。
  • ユーザーにパスワードの変更を求めるメッセージを表示するウェブページを設定する。

{
  "SafeBrowsingEnabled": 1
}
{
  "PasswordProtectionWarningTrigger": 1
}
{
   "PasswordProtectionChangePasswordURL": "https://mydomain.com/change_password.html" 
}
{
    "PasswordProtectionLoginURLs": ["https://mydomain.com/login.html", "https://login.mydomain.com"]
}
{
    "SafeBrowsingWhitelistDomains": ["mydomain.com", "myuniversity.edu"]
}

ステップ 3: パスワードのモニタリングを設定する

Chrome レポート拡張機能を使用すると、Chrome ブラウザの使用状況に関するログ情報を表示できます。ユーザーが変更または再利用したパスワードに関する情報を検索するには、次のイベントを検索します。

  • onPolicySpecifiedPasswordChanged - ユーザーがパスワードを変更したかどうかがわかります。G Suite ユーザーにのみご利用いただけます。
  • onPolicySpecifiedPasswordReuseDetected - ユーザーがパスワードを再利用すると、次の情報を確認できます。
    • パスワードを再利用したユーザー。
    • パスワードを再利用した URL。
    • 対象ウェブサイトがセーフ ブラウジング リストに記載されているかどうか。

注: ユーザーがシークレット モードを使用している場合は、Chrome レポート拡張機能でパスワードはモニタリングされません。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。