2025年6月、セキュリティ研究チーム「Cybernews」によって、AppleやGoogle、Facebookをはじめとする主要オンラインサービスや政府機関のアカウント情報を含む合計160億件のログイン資格情報(ID・パスワード)が流出していたと発表がありました。
概要
これは過去最大規模の情報漏洩とされ、Googleは全ユーザーに対してパスワードの変更を促し、FBIもSMSで届く不審なリンクを開かないよう注意喚起している。対象データのほとんどは新たに流出したものであり、「使い回しパスワード」の危険性が改めて浮き彫りになったかたち。
詳細
- Cybernewsによると、今回の漏洩は30件の巨大なデータセットから構成されており、1つのデータセットあたり最大35億件以上の情報を含んでいた。
- 驚くべきことに、これらの大部分は過去に漏洩報告がなかった新しい情報とみられており、古い漏洩データの「再放出」ではないと断定されている。
- 特に注目されるのは、漏洩データが“武器化可能な状態”で流通していたこと。
- URL・ID・パスワードの組み合わせで保存されており、Apple、Google、Facebook、Telegram、GitHub、政府系サービスなど、あらゆるオンラインサービスにアクセスできる内容だった。
- この漏洩は中央集権的なハッキングによるものではなく、複数の「インフォスティーラー(情報窃取型マルウェア)」によって長期間収集されたものと推測されている。
- ただし、その背後にいる犯人や対象者の正確な規模は特定できていない。
- 一部の専門家は、Telegramなどでデータが共有される代わりに、従来型の巨大なデータベース形式に回帰してきている兆候だと分析。
- 流出が一時的だったことから、研究者によって発見されたものの、悪用された痕跡をすべて把握するのは困難とされる。
- 専門家らは、以下のような対策を強く推奨している:
- パスワード管理ツールの導入(使い回し防止に有効)
- マルチファクター認証(2段階認証)の導入
- Google・Apple・Facebookなどで提供が始まっている「パスキー(passkey)」の利用
- DashlaneやFIDOアライアンスの専門家によると、「今後3年間でインターネットユーザーの大多数がパスキーを利用するようになる」と予測されている。
- 顔認証や指紋認証を活用したパスワード不要のログイン手段は、今まさに広がりつつある。
コメントを残す