Gmailのパスワード、流出した1億8300万件のアカウントの一部として確認される（Forbes JAPAN）

今年初め、筆者はアップル、フェイスブック、インスタグラムのユーザーに影響を与える、合計1億8416万2718件のパスワードとログイン情報を含む大規模なデータ漏洩（ろうえい）について報じた。この漏洩は米国時間5月22日に公表された。 また不気味な偶然の一致のように、新たに2025年4月の侵害による1億8300万件のパスワードとログイン認証情報に関する情報が浮上した。「Have I Been Pwned」（HIBP、「私のアカウントはハックされているか」）のデータベースに、ウェブサイトのURL、メールアドレス、パスワードの詳細が追加されている。同サービスの運営者であるトロイ・ハントによれば、当該データは確認済みのGmailログイン認証情報を含む「スティーラーログ」（情報窃取マルウェアのログ）と「クレデンシャルスタッフィング（認証情報使い回し攻撃）用リスト」の双方で構成されているという。以下は現時点で分かっていることと、取るべき対応だ。 ■約1億8300万件のパスワード流出で判明していること HIBPは、アカウントのログインセキュリティを真剣に気にかける人にとっての定番リソースである。理由は、自分のメールアドレスやアカウント、パスワードがデータ漏えいやダークウェブ上の流出リストで見つかった際に、それを把握できる場だからである。しかも無料で利用できる。 このサイトにおいて、影響を受けるアカウント数が1億8300万件、侵害されたデータがメールアドレスとパスワードと示す新規エントリーが現れれば、多くの人が注意を払うはずだ。筆者も、10月21日の追加を受けて再び注目した。 さらに情報を探る中で、筆者はハント自身による詳細な分析に行き当たった。これは、HIBPに提供されたSynthientの脅威データの中身を検証するものだった。Synthientのベンジャミン・ブランデージはブログ投稿で、このデータが、ほぼ1年にわたりインフォスティーラー（情報窃取型マルウェア）プラットフォームを監視した結果から得られたものだと明らかにした。 HIBPに送られた情報の総量は3.5テラバイト、合計230億行に及んだ。問題となったスティーラーログの出力は主に3種類、すなわちウェブサイトのアドレス、メールアドレス、パスワードで構成されていたとハントは述べた。「誰かがGmailにログインすると、そのメールアドレスとパスワードがgmail.comに対して記録される。したがって、3つの要素になる」とハントは記している。もちろん、サイバー犯罪の世界では認証情報の使い回しが横行しているため、ハントはまず、手元のデータベースがどれほど新しいのかを確認したかった。 9万4000件のサンプルを分析したところ、92％は新規ではなかった。「これまでに見られたものの大半は、ALIEN TXTBASEのスティーラーログに含まれていた」とハントは確認した。ただし、残る8％は新しい「生」データであり、単純計算では1400万件超の認証情報に相当する。実際の最終集計では、スティーラーログに限らず、過去のいかなるデータ侵害でも見たことのないメールアドレスが1640万件含まれていた。 HIBPはまた、認証情報が本物かどうかを確かめるため、影響を受けた購読者の一部に詳細の送付も行っている。「回答者の1人は、すでに自分のGmailアカウントに何か問題があるのではないかと懸念していた」とハントは述べ、この人物は当該エントリーが「自分のGmailアカウントの正確なパスワード」であることを検証できたという。 ■今すぐHIBPで確認、自分のパスワードが影響を受けていないか調査を 今回の漏えいで影響を受けるのはGmailユーザーだけではない。したがって、誰もがHIBPで自分のアカウント認証情報が含まれているか確認すべきだ。もし該当するなら、直ちに当該パスワードを変更する必要がある。パスワードを使い回している場合──使い回しは避けるべきだが──そのパスワードを再利用しているすべてのアカウントで変更しなければならない。筆者はグーグルにコメントを求めている。