Googleがフィッシング対策のために開発したChrome拡張「パスワード アラート」

「パスワード アラート」v1.6

　「パスワード アラート」は、Googleがフィッシング対策を目的に開発した「Google Chrome」用の拡張機能。編集部にてWindows 8.1上の「Google Chrome」v42.0.2311.135で動作を確認した。“Chrome ウェブストア”から無償でダウンロードできる。

　本拡張機能をインストールすると、“accounts.google.com”以外のサイトで“Gmail”または“Google for Work”のパスワードを入力した際に警告ページを表示してくれる。Googleの認証ページをよそおった偽サイトを見破るといった本来の用途に役立つのはもちろん、他のサービスで“Gmail”のパスワードを使いまわしていないかどうかをチェックするといった使い方も有効だろう。

フィッシングサイトに騙されて“Gmail”のパスワードを入力したり、他のサービスで“Gmail”のパスワードを使い回すと、警告ページが表示される

　本拡張機能は、ローカルに保存しておいた“Google アカウント”のパスワードのハッシュ値と、Webページで入力されたパスワードのハッシュ値を比較する仕組みになっている。パスワードそのものは保存されていないため、漏洩の心配はない。また、入力したパスワードが外部へ送出される前に比較と警告処理が行われるため、外部との通信も一切行われていないという。本拡張機能はオープンソースで開発されており、ソースコードは“GitHub”で公開されている。実際にどういう仕組みになっているのかチェックすることも可能だ。

　なお、“シークレット ウィンドウ”、Chrome アプリ、拡張機能は、「パスワード アラート」の保護対象外となっている。また、JavaScriptが有効でないと機能しないので注意。より安全性を高めたい場合は、“2 段階認証プロセス”の利用なども検討してほしい。