Googleは8月15日(米国時間)、「Google Online Security Blog: New Research: Lessons from Password Checkup in action」において、拡張機能を経由して集計したデータにおけるアカウントデータの1.5%が脆弱なユーザー名とパスワードを利用していると指摘した。特にエンターテイメント系サイトで脆弱なユーザー名とパスワードが使われる傾向が強いという。
過去のインシデントでは数十億件のアカウントデータが漏洩している。こうしたデータは整理され、すでにいくつかのサービスで脆弱なアカウントチェックをするために使われている。
そうしたツールの1つにGoogleが提供している「Password Checkup extension」がある。このエクステンションを利用すると、Chromeでアカウンデータ入力時に40億件ほどの脆弱なアカウントデータから危険なものであるかどうかを検査することができる。
今回、Googleはこのエクステンションを使って集計したデータを公開。エクステンションの初期実験には65万人以上のユーザーが参加し、最初の1カ月だけでも2100万レコードほどのユーザー名とパスワードが検出対象になった。その期間、31万6000以上のアカウントが脆弱なものとして検出され、スキャンされたアカウントの1.5%ほどが脆弱だった計算になると指摘している。
脆弱なアカウントが使われるWebサイトはジャンルによって偏っており、政府系サイトや金融系サイト、電子メールサービスなどでは少なく、逆にエンターテイメント系のサイトでは脆弱なアカウントが使われる傾向が強かったと説明している。