Gmailに届いた「保存したパスワードの一部がウェブ上に漏洩しました」とは？

使用しているGoogleアカウントのGmailに
「保存したパスワードの一部がウェブ上に漏洩しました」というメールが届きました。

この手のメールは基本的にフィッシングサイトへの誘導ですが、内容が精巧なため、気になってこのキーワードで検索をかけたところ、Googleからの正規の通知であるという解説が散見されました。

URLを確認し、自らGoogleアカウントへアクセスして調べたところ確かにそのような通知がGoogleアカウントから出ていました。
恐らくGoogleChromeでアクセスした際に保存したパスワードだと思うのですが、
気になるのが、なぜChromeに保存したパスワードがGoogleデータベースで管理されているのかということ。

Chromeなどで保存したパスワードというのは端末に暗号化ローカル保存されているだけだと思っていたのですが、
これはGoogleアカウントに保存されて別端末でも共有できるようにされているということでしょうか？

いかにGoogleのサービスといえどネットワーク上にChromeなどで保存したパスワードが送信されてデータベース管理されているなんて不自然というか、Googleが漏洩のリスクを起こしていると思うのですが。

通知メールに
「Google アカウントに保存したパスワードの一部が、ご使用のサイトまたはアプリからデータ侵害で漏洩しました。」
と書かれていますがデータ侵害をしているのはGoogleでは？

Googleのサービスは時々何を言ってるのかわからない部分があるのですが、私の勘違いの可能性も含め、
詳しい方、解説していただければと思います。

よろしくお願いいたします。

質問者からの補足コメント

• ギガジンの記事より
  
  ＞別の会社から流出したユーザー名とパスワードを収集して、「ユーザー名＆パスワードを暗号化したデータ」と「ユーザー名＆パスワードから生成されるハッシュ」をGoogleのデータベース上に保存します。この暗号化を解く鍵は、Googleのみが保有します。
  
  なぜGoogleが別の会社の流出情報を収集できるのか謎ですが、Googleは巨大IT企業なのでそういう管理情報までGoogleに管理を委託しているということでしょうか。
  流出した会社が発表してユーザーに連絡すれば良いことで、
  何がどこへ流出した恐れがあるのかはっきりしないとこの通知自体が怪しいと思えてしまいます。
  
  Googleが自前のセキュリティにどれだけの自信があるのかわかりませんが全てのセキュリティは破られる前提にあることを踏まえると、

    補足日時：2021/10/27 21:30

• Googleとて管理しているパスワード情報を流出させてしまうことはあり得るわけです。
  1つの企業が管理しているというのが逆に大量のアカウントデータの流出を起こしかねない危険性も。
  
  私はサービスごとにアカウント名もパスワードを全て変えているので何処かの脆弱なサービスの登録情報が流出したところでそれが原因でクラックされる恐れはないため、Googleで全てのアカウントの危険性を管理するなど余計なお節介としか思えないです。
  
  ただ世の中のユーザーは恐らくパスワードの使い回しをしてる方が圧倒的に多いでしょうから、むしろGoogleが管理していち早くユーザーに警告入れた方がよいという考えなんでしょうか？
  
  情報流出はその運営会社の責任だと思うのでGoogleが関与するとややこしくなるような…。

    補足日時：2021/10/27 21:31

No.3 回答者： かわごえ 回答日時： 2021/11/01 08:19

＞何らかの確認が

各アプリ各サービスはよくよく読んでご利用ください。

No.2 回答者： かわごえ 回答日時： 2021/10/27 22:39

＞今ではこういう別会社がユーザーアカウントの情報を管理す

Googleに限って言えばChromeで使うアカウント情報はGoogleアカウントに紐づけられます。
とても便利です。

Edgeであればマイクロソフトアカウントに紐づけられます。
とても便利です。
もちろんFirefoxも同様です。

しかし
https://support.google.com/chrome/answer/95606?h …
「現在のパソコンにのみローカルでパスワードを保存することも」
管理させたくないならそのような手段もあります。

ただ、パスワード辞書なるものも存在しますし
「ほぼほぼ当ててくる」くらいの心構えで
常日頃からログイン端末の確認をするくらいが良いと思います。

この回答へのお礼

もちろん便利な部分もありますよね。どの端末でもGoogleアカウントにログインすれば同じように使える。

しかし便利さを追求すると反する悪用も出来てしまうため、パスワードに感する管理は面倒でいいと思うんですけどね。

＞「現在のパソコンにのみローカルでパスワードを保存することも」
管理させたくないならそのような手段もあります。

問題はGoogleアカウントを利用するとデフォルトでこの機能が有効になってしまう点で、何らかの確認があるべきだったのでは？と思います。
知らないうちに備わっていたようですので。

話が脱線しますが、
辞書攻撃があってもパスワードを無駄打ちすると大抵はロックがかかるので、そのアカウントの使用パスが予想出来なければまず突破出来ないはずです。もちろんシステムに欠陥がない前提で。
だからフィッシングサイトでID、パスワード、利用サービスをセットで抜こうとしてくるわけです。
しかしGoogleはその情報をセットで保管しているというのは、ある意味破られたり流出したらそれ以上の損害があると思うんです。
普通に考えたらその3つの情報をパスワードを第三者の機関が保管するなんてあり得ないと思うんですが、世の中の流れがパスワードをいかにフリーにして利便性を高めるかに向かっているという事なんでしょうかね…。

お礼日時：2021/10/31 17:18

No.1 回答者： かわごえ 回答日時： 2021/10/25 20:59

Googleアカウントに紐付けて記録してんですからGoogleで管理されますよ。

https://support.google.com/accounts/answer/94576 …
参考までに

https://gigazine.net/news/20191211-google-chrome …

この回答へのお礼

回答ありがとうございます。

結構前の記事なんですね。全然知りませんでした。
今ではこういう別会社がユーザーアカウントの情報を管理するというのは普通にあるんでしょうか？

お礼日時：2021/10/27 21:22