1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Google・Facebook・Instagram含む1億8400万件のメールアドレスやパスワードなどの認証情報や個人情報流出

Google・Facebook・Instagram含む1億8400万件のメールアドレスやパスワードなどの認証情報や個人情報流出

セキュリティニュース

投稿日時: 更新日時:

1億8400万件のメールアドレスやパスワードなどの認証情報が無防備に公開

サイバーセキュリティ研究者Jeremiah Fowler氏は、認証情報1億8,416万件以上を含む47.4GB超のデータベースが無保護で公開状態となっていた事実をWebsite Planetで報告しました。このデータベースには、Gmail、Facebook、Instagram、Snapchat、Robloxに登録されたメールアドレス、ユーザー名、パスワード、そしてそれらのアカウントのログインURLが含まれており、非常に深刻なセキュリティリスクが懸念されます。

データベースの内容と漏えいの可能性

公開されたデータベースはパスワード保護も暗号化もされていませんでした。そこには1億8,416万2,718件の固有のログイン情報とパスワードが含まれており、合計47.42GBという膨大な量の生の認証情報データが含まれていました。公開された文書の一部を抜粋したところ、メールアドレス、ユーザー名、パスワード、そしてアカウントのログインまたは認証へのURLリンクを含む数千ものファイルが確認されました。

発見されたデータベースには、以下のような認証情報が含まれていました:

  • メール、SNS、クラウド、ゲームなどのサービス(Gmail、Facebook、Instagram、Snapchat、Robloxなど)

  • Microsoft製品や健康系アプリ、銀行・金融サービス、各国の政府系ポータルの認証情報

  • ファイル名にポルトガル語の「senha(パスワード)」を使用し、他の情報は英語表記

複数の検証により、実際の利用者の正確なパスワードであることが確認されており、実在性と危険性が極めて高い情報であることが裏付けられています。

情報の出所とインフォスティーラーの痕跡

データの収集源は明示されていませんが、Fowler氏によれば「インフォスティーラー型マルウェアによって収集された可能性が極めて高い」としています。

インフォスティーラーとは

  • 感染端末から保存済みのID・パスワード、自動入力データ、暗号資産ウォレット情報などを盗み出すマルウェア

  • キーロガー機能やスクリーンショット取得機能を持つものも存在

  • フィッシングメール、改ざんWebサイト、違法なクラックソフトなどを通じて拡散されることが多い

Fowler氏はデータベースの存在をホスティング事業者に通報し、現在はアクセスが制限されたとしていますが、データが第三者の手に渡っていた可能性は排除できないとのことです。

なおHave I Been Pwnedにはまだリストが共有されていないようで、Have I Been Pwnedやグーグルなどのダークウェブモニタリングで注視する事をお勧めします。

想定される悪用シナリオ

漏えいした情報により、以下のような攻撃が容易に実行可能になります:

  • クレデンシャルスタッフィング:同一パスワードを複数サービスで使い回している場合、複数アカウントが一斉に突破される

  • アカウント乗っ取り(ATO):特に2FA(多要素認証)が未導入のアカウントは危険

  • 企業スパイ活動:企業アカウントを通じてネットワーク内部に侵入し、知財・顧客情報・業務データを窃取

  • 国家機関への脅威:.govドメインも多数含まれており、機密情報へのアクセスリスクが存在

  • フィッシング強化:古いパスワードでも、精巧なフィッシングの信頼性を高める材料になり得る

推奨される対策とアドバイス

Fowler氏は、今回の事件を通じて以下のセキュリティ対策を強く推奨しています:

基本的な個人対策:

  • パスワードの定期変更(最低年1回)

  • すべてのアカウントで異なる、強固なパスワードを使用

  • 2FA(二要素認証)の有効化

  • “Have I Been Pwned”などで漏えい確認

  • ログイン履歴や通知の確認・監視

  • パスワードマネージャーの活用(ただしリスクも理解すること)

組織向けの補足アドバイス:

  • インフォスティーラーの侵入を防ぐためのEDR(Endpoint Detection & Response)導入

  • 全社的なアカウントの監査とパスワードポリシーの見直し

  • 過去のメール添付ファイルに対するリスク評価

  • クラウドストレージと業務メールの利用範囲の棚卸し

法的・倫理的注意点

Fowler氏は、発見したデータを保存せず、検証用の最小限のスクリーンショットのみ取得したことを強調し、倫理的なセキュリティ研究者としての立場を明示しています。また、米国のCFAA(コンピュータ詐欺および不正使用防止法)や、EUのGDPRなど、多くの国・地域でこうした情報の取得・所持が違法とされる可能性があることにも言及しています。

まとめ

今回の事案は、個人・企業・政府を問わず、IDとパスワード情報がいかに容易に悪用されうるかを明確に示した重大な警鐘です。日本国内でも、過去に発生した情報漏えいの多くがID・パスワード由来であることを考慮すると、今一度、組織全体のアカウント管理体制を見直す契機とすべきでしょう。

関連記事

多要素認証(MFA)を回避しMicrosoft 365へ不正アクセスするフィッシングサービス Rockstar 2FA多要素認証(MFA)を回避しMicrosoft 365へ不正アクセスするフィッシングサービス Rockstar 2FA 「Have I Been Pwned」がALIEN TXTBASEから流出した 2億8,400万件のメールアドレスとパスワードをデータベースに統合Have I Been PwnedがALIEN TXTBASEから流出した 2億8,400万件のメールアドレスとパスワードをデータベースに統合 Steamから約8,900万件の情報が漏洩した報道を運営のValveが否定Steamから約8,900万件の情報漏洩した疑惑を運営のValveが否定 Citrix、NetScalerアプライアンスへのパスワードスプレー攻撃について注意喚起Citrix、NetScalerアプライアンスへのパスワードスプレー攻撃について注意喚起 著名セキュリティ研究者がMailchimpを装ったフィッシングメールの被害著名セキュリティ研究者がMailchimpを装ったフィッシングメールの被害 インターネットアーカイブで不正アクセス 約3100万人の個人情報が漏洩した可能性インターネットアーカイブで不正アクセス 約3100万人の個人情報が漏洩した可能性 Metaの偽広告がFacebookアカウントをハイジャックしインフォスティーラーを拡散Metaの偽広告がFacebookアカウントをハイジャックしインフォスティーラーを拡散 旧軽井沢ホテル音羽ノ森 Facebook アカウントが不正アクセスで乗っ取り旧軽井沢ホテル音羽ノ森 Facebook アカウントが不正アクセスで乗っ取り 東京マラソン公式ウェブサイト、偽サイトの注意喚起東京マラソン公式サイトで偽サイトの注意喚起