皆さんは、大切な日記や秘密のメモ帳が、知らないうちに誰かに読まれてしまったらどう感じますか?きっと、とても不安で、悔しい気持ちになりますよね。私たちが毎日使っているインターネットの世界でも、これと同じくらい、いや、もしかしたらそれ以上に深刻な問題が起きています。
つい先日、Apple、Facebook、Googleといった世界中の多くの人が利用している大手サービスのログイン情報が、なんと160億件も流出した可能性があるという、衝撃的なニュースが飛び込んできました。これはまさに「インターネット版・秘密のメモ帳流出事件」と言えるでしょう。以前、2025年5月23日の報道で既報の1億8400万件ものログイン情報流出は、今回の数字と比較するとその比ではありません。
この驚くべき事態について、サイバーセキュリティの専門家たちが詳しい調査を進めています。私たちのオンラインでの安全を守るために、今すぐ何を知り、何をすべきなのか、Forbesの記事を元に、詳しく見ていきましょう。
史上最大級のパスワード流出、その衝撃とは
パスワードが流出することは、決して他人事ではありません。私たちが使っているオンラインサービスのアカウントが乗っ取られてしまうと、そこから個人情報が盗まれたり、不正に買い物をされたり、さらには友人や家族にまで被害が及んだりする可能性があります。だからこそ、Googleは何十億人ものユーザーに、パスワードよりもはるかに安全な「パスキー」への切り替えを呼びかけているのです。また、FBI(アメリカの連邦捜査局)が「SMS(ショートメッセージ)に送られてきたリンクはクリックしないように」と警告したり、盗まれたパスワードが「ダークウェブ」と呼ばれるインターネットの裏側で、わずかなお金で売買されたりしているのも、すべてこの「パスワード流出」という問題が深刻だからです。
今回の流出は、セキュリティ専門メディアのCybernewsによると、今年の初めから調査が進められてきた中で判明しました。研究者のVilius Petkauskas氏が確認したところ、流出したデータは「数千万件から35億件以上」もの情報を含む30のデータベースに分かれており、合計で160億件ものログイン情報に上るというのです。これは、これまでの歴史の中でも最大級のパスワード流出だと考えられています。
盗まれたパスワードの使われ方
セキュリティ企業のDispersiveのバイスプレジデントであるLawrence Pingree氏は、「情報機関も犯罪者も、これらのリストをダークウェブで利用したり、何度もrepackage(再包装)して販売したり、個別に売ったりしている」と述べています。今回のデータが過去の流出データの「再包装」なのか、それともまったく新しいデータなのかは、すべてのデータを詳しく調べないと正確にはわからないものの、Cybernewsの研究者たちは「新しいデータだ」と確信しているとのことです。いずれにせよ、Pingree氏が言うように「160億件もの記録は途方もない数」であり、これらのログイン情報は悪用される可能性があるだけでなく、実際に悪用されているからこそ価値があるのです。
今回の160億件もの流出データには、SNS(ソーシャルネットワーキングサービス)やVPN(バーチャルプライベートネットワーク)、開発者向けのサイト、そしてApple、Facebook、Google、GitHub、Telegramなどの主要なベンダーのユーザーアカウントなど、数多くのログイン情報が含まれています。驚くべきことに、これらのデータセットのほとんどは、これまで一度も流出したと報告されたことのない「新しい情報」だといいます。この流出は、「単なる情報漏えいではなく、大規模な悪用のための設計図」だと研究者たちは警告しており、フィッシング攻撃やアカウント乗っ取りの温床となる「新たな、そして武器となりうる情報」と位置づけています。
流出した情報の多くは、URL(ウェブサイトのアドレス)に続いてログインIDとパスワードが記載されている形式だったそうです。この情報があれば、「Apple、Facebook、GoogleからGitHub、Telegram、さらには政府のサービスまで、想像しうるほぼすべてのオンラインサービス」への扉が開いてしまうと、研究者たちは指摘しています。
Cybernewsの研究者であるAras Nazarovas氏は、「中央集約された従来のデータベース形式で、これほど多くのインフォスティーラー(コンピュータに感染し、ログイン情報や個人情報などを盗み出す悪質なプログラム)のデータセットが見つかったのは、サイバー犯罪者たちが以前使っていたTelegramのグループなどの方法から、積極的に手口を変えている兆候かもしれない」と述べています。これは、犯罪者たちがより効率的に大量の情報を盗み、集める方法を見つけていることを示唆しています。
大規模な情報漏えいに備えるパスワード管理の重要性
今回の160億件もの大規模な情報漏えいのように、すべてのパスワードデータベースがインフォスティーラーのようなマルウェア(悪意のあるソフトウェア)によって盗まれるわけではありません。Keeper SecurityのCEOで共同設立者のDarren Guccione氏は、「これほど大量の機密データが意図せずオンライン上に公開されてしまうことが、いかに簡単であるかを改めて思い知らされる」と語っています。Guccione氏が言うように、これは私たちが知らないだけで、実はオンラインの世界に「氷山の一角」として潜んでいる、さらなる大規模な情報流出の始まりに過ぎないのかもしれません。例えば、クラウド環境での設定ミスによって、どれだけのパスワード情報が誰かに見つけられるのを待っているか、想像してみてください。運が良ければ、それを見つけるのは、責任を持って所有者に情報漏えいを報告してくれるセキュリティ研究者でしょう。しかし、もし悪意のある人物が見つけてしまったら、どうなるでしょうか。
Guccione氏は、「今回流出したログイン情報が、広く使われているサービスの非常に価値の高いものであるという事実は、広範囲にわたる影響を及ぼす」と指摘し、だからこそ消費者は「パスワード管理ソリューション」や「ダークウェブモニタリングツール」に投資することがこれまで以上に重要であると強調しています。「パスワード管理ソリューション」は、たくさんのパスワードを安全に保存し、自動で入力してくれる便利なツールです。また、「ダークウェブモニタリングツール」は、自分のパスワードがダークウェブに流出していないかを監視し、もし見つかった場合にユーザーに通知してくれます。これにより、もし同じパスワードを複数のサービスで使い回していたとしても、早急に対応し、アカウントのログイン情報を変更できる可能性が高まります。
企業や組織もまた、投資の必要性から逃れることはできません。企業は「ゼロトラストセキュリティモデル」を採用すべきだとGuccione氏は結論付けています。「ゼロトラストセキュリティモデル」とは、社内ネットワークにいる人であっても「誰も信用しない」という考え方でセキュリティ対策を行うことです。これは、「特権アクセス管理」を提供し、「データがどこにあっても、機密システムへのアクセスは常に認証され、許可され、記録されることでリスクを制限する」ものです。つまり、たとえ会社の社員であっても、システムにアクセスする際には毎回厳しくチェックを行い、本当に必要な人だけが情報にアクセスできるようにすることで、情報漏えいのリスクを最小限に抑えるのです。
元NSA(アメリカ国家安全保障局)のサイバーセキュリティ専門家でDesired EffectのCEOであるEvan Dornbush氏は、「パスワードがどれほど長く、複雑であっても関係ありません。攻撃者がそれを保存しているデータベースを乗っ取ってしまえば、彼らはそれを手に入れてしまうのです」と述べています。だからこそ、パスワードの適切な管理が非常に重要です。「同じパスワードを複数のサイトで使い回さないことが極めて重要であるのも、このためです。もし攻撃者が一つのデータベースからパスワードを盗み出し、その個人が他の場所でもそれを使い回していれば、攻撃者はそれらのアカウントにもアクセスできてしまうのです。」
ApproovのバイスプレジデントであるGeorge McGregor氏は、このような大規模な情報漏えいを「最初のドミノ」と表現し、「潜在的なサイバー攻撃の連鎖と、個人や組織への重大な損害につながる」と述べています。今回の研究は、「ユーザーの身元情報がすでにハッカーに広く利用可能になっているという、私たちがすでに知っていることを単に浮き彫りにしたに過ぎない」とMcGregor氏は主張しています。
サイバーセキュリティは「共有の責任」なのか?そして「パスキー」へ
結局のところ、今回の事態はサイバーセキュリティが単なる技術的な課題ではなく、「共有の責任」であることを改めて示しています。KnowBe4のセキュリティ意識向上アドボケイトであるJavvad Malik氏は、「組織はユーザーを保護する役割を果たす必要があり、人々はログイン情報を盗もうとするあらゆる試みに対して警戒心を持ち続ける必要がある」と述べています。その上で、「強力でユニークなパスワードを選び、可能な限り「多要素認証」を導入してください」と助言しています。多要素認証とは、パスワードだけでなく、スマートフォンに送られるコードや指紋、顔認証など、複数の方法で本人確認を行うことで、セキュリティを強化する仕組みです。
一方で、MetaCertのCEOであるPaul Walsh氏は、サイバーセキュリティが「共有の責任」という考え方には異論を唱えています。Walsh氏は、「それは、フィッシング攻撃から顧客を保護する方法をまだ知らないセキュリティベンダーが、ユーザーがセキュリティのプロにならないことを非難する純粋なナンセンスだ」と、X(旧Twitter)で意見を表明しました。セキュリティプロバイダーでさえ見破れない脅威を、なぜユーザーが発見できると期待するのか?というWalsh氏の問いは、非常に理にかなっています。彼は、ユーザー教育が10年以上も効果を上げていないと指摘しています。もちろん、Walsh氏の会社MetaCertは、この問題に対して「ゼロトラストURL認証」というアプローチを先駆けています。
今すぐパスワードからパスキーへの移行を
今回の大規模な情報漏えいを受けて、すべてのオンラインサービスのアカウントパスワードを変更したいと思わないかもしれませんが、もし複数のサービスで同じパスワードを使い回したことがあるなら、今すぐ変更することを強くお勧めします。また、この機会にパスワード管理ツールを使い始め、可能な限り「パスキー」への切り替えを始めることを提案します。
セキュリティ専門家であり、FIDOアライアンス(パスワードを使わない安全な認証技術の国際標準を作っている団体)の共同議長でもあるRew Islam氏は、Dashlaneが「パスキー対応を開始した最初の認証情報管理サービス」であり、「テクノロジー業界がそれに追随しているのを見るのはとてもエキサイティングだ」と述べています。そして、最新のパスキー導入を発表したのがFacebookです。これは今回のCybernewsの研究を考えると、まさに素晴らしいタイミングだと言えるでしょう。Islam氏は、「大規模なソーシャルフォロワーを持つ他の企業やプラットフォームにとっても、パスキーは『あれば便利』なものではなく、『ユーザーを保護するために不可欠』なものだということが、はっきりした」と結論付けています。
- Facebookユーザーの場合のパスワードからパスキーへの切り替え方法はこちら
- Appleユーザーの場合のパスワードからパスキーへの切り替え方法はこちら
- Googleユーザーの場合のパスワードからパスキーへの切り替え方法はこちら
Islam氏は、「変化に対する抵抗感は多少あるかもしれないが、ほとんどのユーザーはすでにパスワードをやめて、顔認証や指紋認証など、すでに知っていて使っている方法に頼る準備ができているのは良いニュースだ」と述べています。もちろん、これには銀行からソーシャルメディア、中小企業に至るまで、より多くの企業がパスキーの導入に加わっていくことが必要です。そのような導入が進めば、最も懐疑的な人々の間でも信頼が築かれるでしょう。Islam氏は、「今後3年間で、世界のインターネットユーザーの過半数がパスキーを使うようになると予想している」と締めくくっています。
私たちの未来のセキュリティのために
今回の160億件もの大規模な情報漏えいは、私たち一人ひとりが日頃から利用しているオンラインサービスの安全がいかに脆いかを示しています。しかし、同時に、これからのセキュリティ対策の方向性を示す重要なメッセージでもあります。
最も重要なポイントは以下の3つです。
- 今すぐできる対策: 同じパスワードの使い回しをやめ、複雑でユニークなパスワードを設定しましょう。そして、利用できるサービスでは「多要素認証」を必ず設定してください。これは、二段階認証とも呼ばれ、パスワードだけでなく、スマートフォンに送られるコードや指紋、顔認証などで本人確認を行うことで、万が一パスワードが漏れても不正アクセスを防ぐことができます。「パスワード管理ソリューション」を活用すれば、たくさんのパスワードを安全に管理できますし、「ダークウェブモニタリングツール」で自分の情報が流出していないかチェックすることも有効です。
- パスキーへの移行: パスワードの代わりに指紋や顔認証でログインできる「パスキー」は、セキュリティと使いやすさを両立させる次世代の認証方法です。Apple、Facebook、Googleなど大手企業が続々と導入しているように、パスキーは将来の主流になるでしょう。対応しているサービスでは、積極的にパスキーへの切り替えを検討しましょう。
- 企業と社会の責任: ユーザー側での対策はもちろん大切ですが、企業やサービス提供者もまた、私たちの安全を守るために「ゼロトラストセキュリティモデル」のような最先端のセキュリティ対策を導入し、データ保護に最大限の努力を払う必要があります。特に日本企業も、世界の流れに乗り遅れることなく、パスキーの導入や特権アクセス管理の強化を進めるべきです。また、サイバーセキュリティは「共有の責任」という考え方もあれば、Paul Walsh氏のように「企業がもっと努力すべき」という意見もあります。どちらにせよ、私たちユーザーが過度に専門知識を求められるのではなく、技術が自然に私たちの安全を守ってくれるような社会になることが理想的です。政府や関連機関も、国民のデジタルセキュリティ意識向上と、安全な認証技術の普及に積極的に取り組むべきでしょう。
今回の事件は、単なる情報の流出に留まらず、私たちがデジタル世界でどのように身を守っていくべきか、そして企業や社会全体がどうあるべきかを問いかけるものです。パスワード時代から、より安全で便利なパスキーの時代へと移り変わる今、私たち一人ひとりが意識を高め、変化に対応していくことが、安心してインターネットを使い続けるための鍵となるでしょう。
