Googleへ不正アクセス、Gmail アカウント 情報の最大25億人分が漏洩の可能性-パスワード変更を推奨

セキュリティニュース

投稿日時: 更新日時:

Gmailのアカウント 情報、最大25億人分が漏洩の可能性-パスワード変更を推奨

2025年8月、GoogleのSalesforce基盤で運用されていたデータベースが不正アクセスを受け、Gmailの利用者情報、最大25億人規模への影響が懸念される事案が報じられました。攻撃は2025年6月頃から始まり、IT担当を装う電話等のソーシャルエンジニアリングで従業員に悪性アプリ承認を誘導、連絡先・企業名・関連メモ等の情報が流出した可能性が指摘されています。

Googleはパスワード自体の流出は確認していないとしつつ、不審メールや通話、SMSの増加を受け、パスワード更新・多要素認証(MFA)・Security Checkup・パスキーの利用強化を推奨しています。8月8日には影響ユーザーへの通知を開始した旨も伝えられています。

2025年9月1日、GoogleはGmailの不正アクセスやアカウント情報 流出やセキュリティ警告の報道は事実ではない と声明を発表しました。

2025年10月26日にも、Gmailの漏洩が報じられましたがグーグルは否定し不正アクセスではなくマルウェア由来の寄せ集めリストの漏洩であるとしています

要点

  • Google、不正アクセスでGmailの利用者の情報、最大25億人規模で漏洩の可能性
  • パスワード自体は漏洩していないとされている
  • 念のため、パスキーの設定とパスワードの変更を推奨(企業/個人アカウント問わず)

関連:ハッカーが日本人 53万件分のメールアドレスとパスワードを販売【注意喚起】

何がおきたのか

2025年6月ごろ、攻撃者はITサポートを名乗ってGoogleの担当者に電話をかけ、Salesforce連携用のアプリを承認させるよう巧妙に仕向けました。

結果として、Salesforce基盤上で管理されていた連絡先や企業名、やり取りのメモといった情報が外部に持ち出された可能性があります。Googleはユーザーのパスワード自体は流出していないと説明していますが、8月8日には影響が及ぶユーザーへの通知を開始し、アカウント防御の強化を呼びかけています。

実際、事件後はGoogleを装ったメールや電話、SMSが増え、ログインコードの提示を迫るケースも報告されています。

背後にはShinyHuntersと呼ばれるハッカー集団が関与している可能性が指摘されており、窃取した情報の公開や恐喝に発展する懸念も残ります。



Gmailのアカウント情報が漏洩した場合に生じる主なリスク

Gmailは単なるメールではなく、パスワードリセットの受け皿やGoogleアカウントの中枢として他サービスに連鎖する根幹のアカウントで、「Gmailで登録」など各種ECサイトやサービス利用時のアカウント登録でも利用されています。

ここが漏洩・乗っ取りされると、本人の意思に反して設定が書き換えられ、広範囲に二次被害が波及します。

まず、アカウント乗っ取りと可用性の喪失が発生します。攻撃者はパスワードや復旧用メール・電話番号、2段階認証方式を変更し、所有者を締め出し
重要連絡の受信や各種サービスへのログインが不能となり、業務や私生活に直接的な影響が出ます。

メール認証の場合は要注意

他サービスへの水平展開が起きやすくなります。多くのWebサービスは「メールに届くリンクでパスワードをリセット」するため、Gmailが掌握されると銀行・EC・SNS・クラウド運用基盤など、紐づく多数のアカウントが芋づる式に乗っ取られるおそれがあります。OAuth連携やアプリパスワードが悪用されれば、本人の気づかないバックドアにもなります。

情報の機密性の観点では、メール本文・添付ファイルだけでなく、Google Drive/Photos/カレンダー/連絡先/Keep/位置履歴など、Googleアカウント配下の広範なデータが閲覧・窃取されます。契約書や見積書、身分証画像、医療・税務情報、社外秘資料が含まれていれば、個人のプライバシー侵害や企業の情報漏えいに直結します。

また、なりすましと詐欺のリスクも高まります。

攻撃者は既存スレッドに割り込む「スレッドハイジャック」で取引先へ偽請求や振込先変更を仕掛け、社内外の関係者に対して高精度のスピアフィッシングを展開します。送信履歴や署名、文体が本物と一致するため、被害が拡大しやすい点が特徴です。

認証回りでは、メールに保存されたバックアップコードやスクリーンショット、クラウド上のメモから2段階認証を突破される可能性があります。SMSコードの転送設定や、プッシュ通知の“疲労”を突く手口により、MFAが形骸化する危険もあります。

さらに長期潜伏のリスクも見逃せません。攻撃者は自動転送や「受信トレイをスキップ」フィルタ、委任アクセスの付与、見えにくい転送専用ラベルの作成などで痕跡を隠し、乗っ取りが発覚しても情報が流れ続ける状態を作ります。これにより、後から復旧してもデータが継続して外部へ漏れ続ける事態が起こり得ます。

企業利用の場合はさらに深刻

企業利用の場合はさらに深刻です。Google Workspaceの権限を持つアカウントが侵害されると、組織全体のメール・ドライブ・グループ設定や課金情報、広告アカウント・開発者コンソールの操作まで及びます。結果として、業務停止、顧客情報の漏えい、法令違反やレピュテーション低下に発展するリスクがあります。

総じて、Gmailの漏洩は「可用性の喪失(使えない)」「機密性の喪失(読まれる・持ち出される)」「完全性の喪失(設定や内容を書き換えられる)」の三側面で深刻な影響をもたらし、個人・企業ともに短期の被害だけでなく長期的な信用毀損を招きます。



パスワード変更手順(PC)

  1. ブラウザで Google アカウント にサインインします(右上のプロフィール画像 →「Google アカウントを管理」)。

  2. 左メニューから 「セキュリティ」 を開きます。

  3. Google へのログイン」セクションの 「パスワード」 をクリックします。

  4. 現在のパスワードを入力し、次へ進みます。

  5. 新しいパスワードを2回入力して保存します。

    • 推奨:12文字以上、英大文字・小文字・数字・記号を組み合わせ、他サービスと使い回さないこと。

パスワード変更手順(スマホ)

iPhone/Android(Google アプリ経由)

  1. Google アプリを開き、右上のプロフィール画像 → 「Google アカウントを管理」

  2. 上部タブの 「セキュリティ」「パスワード」

  3. 現在のパスワードを入力し、新しいパスワードを設定して保存します。

モバイルブラウザ経由

  1. ブラウザで Google にサインイン → プロフィール画像 → 「Google アカウントを管理」

  2. 「セキュリティ」→「パスワード」の順に進み、同様に変更します。



なぜ重大化したのか

今回の情報にパスワードは含まれていなくても、氏名や所属、過去の接点といった「文脈情報」が十分に盗まれていれば、攻撃者は説得力の高い標的型攻撃を仕掛けられます。

電話やSMSでワンタイムコードを“確認”すると称して聞き出す、プッシュ通知に何度も応答させて承認させるなど、人の判断を揺さぶる手口はMFAの心理的な抜け穴を突きます。さらに、過去の漏えいデータや推測を組み合わせれば、使い回しや弱いパスワードを狙った総当たりも有効になります。

CRMのような基幹SaaSを踏み台にすると、広い連絡網に一斉に偽連絡を送れるため、被害の波及速度は加速度的に高まります。技術的な防御が整っていても、現場のワークフロー(連携アプリの承認、外部からの“至急”連絡への対応)にソーシャルエンジニアリング攻撃で入り込むことで、防御の目をすり抜けてしまいます。

Googleの対応と時系列(報道ベース)

  • 2025年6月:ソーシャルエンジニアリングによるSalesforce連携悪用が始動。

  • 2025年8月8日:影響ユーザーへ通知開始(報道)。

  • 2025年8月下旬:Googleはパスワード更新・MFA・パスキー・Security Checkup等の強化を広く推奨。被害データは「主に公開情報に近いビジネス情報」と説明する一方、詐欺・フィッシングの増加に警戒を促しています。

個人ユーザーが今すぐ取るべき対策(優先度順)

  1. パスキー有効化:スマホの生体認証でログイン可能にし、フィッシング耐性を高めます。

  2. 多要素認証(MFA)の強化認証アプリ・セキュリティキーを使い、SMS単独は避けます。

  3. パスワード総入れ替え:Gmailを長く更新していない場合は必ず変更。使い回し禁止、最低でも12文字以上・辞書回避。

  4. Security Checkupの実施:サインイン履歴、不審端末、回復用情報、第三者アプリ権限を点検。

  5. フィッシング耐性の行動

    • 「Googleを名乗る」電話・SMS・メールでコード要求拒否

    • メール内リンクではなく、自分でURL直入力してサインイン。

    • 迷ったらヘッダ確認/報告(Gmailの「フィッシングを報告」)。

  6. 漏えい監視:主要アカウントのダークウェブ/漏えい監視を設定し、再利用パスワードの即時変更を習慣化。

企業(情シス)向けの実務対応

  • IdPでの一斉点検:リスクサインイン、異常な場所・AS番号、MFA未設定ユーザーの洗い出しと強制化。

  • Google Workspaceの強化設定

    • コンテキストアウェアアクセス(端末健全性/場所/ネットワーク)。

    • OAuthスコープ制御第三者アプリ審査(未承認は自動遮断)。

    • パスキー優先化ポリシーセキュリティキー必須(高リスク部門)。

  • メール防御:DMARC/DKIM/SPFの厳格化、BIMI導入、スピア対策のML+サンドボックス、役員宛て高優先度フィルタ。

  • 人・プロセス面

    • “ITを名乗る電話”は折返し原則社内連絡帳の正規番号のみ使用。

    • 承認ワークフロー:Salesforce等の連携アプリ承認は二重承認+権限最小化

    • 即応ランブック:ATO検知~ロック~回復までの手順を定期演習

  • 監査・検知:CASBでOAuth同意の可視化、SIEMで同時多拠点ログイン・トークン濫用検知、Impossible Travelルールのチューニング。

  • 取引先連携:営業支援SaaSの権限境界・IP許可リストAPIキーの短寿命化連絡先エクスポートの監査を契約に明記。

よくある落とし穴と回避策

  • SMSコードは安全と誤認SIMスワップ/オペレータ攻撃で突破されます。認証アプリ/FIDOキーへ移行してください。

  • “Googleからの電話”を鵜呑み:Googleはコードの口頭要求をしません。必ず正規窓口へ折返し

  • 公開情報だから無害:連絡先や所属は高度ななりすましの材料になります。情報最小化権限分離が必要です。

まとめ

今回の事案は、パスワードが直接漏れていなくても、ソーシャルエンジニアリング+第三者連携の誤用大規模な二次被害が起こり得ることを示しています。個人はパスキー・MFA強化・Security Checkup、企業はOAuth統制・SaaS連携承認の厳格化・検知運用の底上げを直ちに実装してください。攻撃者“人”と“連携”を突きます。守りは設定の基本徹底と行動様式の標準化から始まります。

一部参照

トレンドマイクロ社発表

フォーブス発表