2025年10月26日、Google(Gmail)は、一部メディアが報じた「数億件規模のGmailアカウント流出」について公式に否定し、問題とされた1億8,300万件(= 183百万件)のメールアドレスとパスワードの組み合わせは、Gmail自体の侵害ではなく、マルウェア(インフォスティーラー)や総当たり・リスト型攻撃などで過去に盗まれた認証情報の寄せ集めにすぎないと説明しました。
概要
発端は、脅威インテリジェンス企業が収集・整理した約3.5TB/230億行規模のデータ群の一部(重複削除後の1億8,300万件)が「Have I Been Pwned(HIBP)」に登録されたことを受け、「Gmailの大規模漏えい」と誤解されたことにあります。
実際には、これは感染端末から抜き取られた過去の認証情報の集合であり、単一サービス(Gmail)を直接破って得られたものではありません。
データの内訳と規模感
HIBP側の分析では、登録された1億8,300万件のうち約91%が既出(過去の漏えい等で既に見つかっていたもの)で、約1,640万件はHIBPで初めて確認されたアドレスでした。いずれも新規の「Gmail侵害」を示すわけではなく、長年にわたる漏えい・窃取の集積が可視化されたに過ぎません。
Googleの見解と対応
Googleは「『数百万ユーザーに影響するGmailのセキュリティ侵害』という報道は誤り」と明確に否定。Gmailの防御は有効に機能しており、ユーザーは保護されていると強調しました。
同社は従来どおり、大規模な資格情報の投下を検知した場合には該当ユーザーへ通知し、必要に応じてパスワードリセットやアカウント回復を行う運用を継続しています。
なぜ「Gmail流出」に見えてしまうのか
情報窃取型マルウェアは、感染した端末でユーザーが入力したあらゆるサイトのログイン情報を横取りします。そこにGmailの資格情報が含まれても、
Gmailの資格情報がある=“Gmailが破られたとはなりません。攻撃対象は端末の利用者(=個々のPC環境)であり、Gmailのサーバーではないという点が誤解の焦点です。
関連記事
Googleへ不正アクセス、Gmail アカウント 情報の最大25億人分が漏洩の可能性-パスワード変更を推奨
セキュリティインシデントとは その種類と事例などを解説
中国系ハッカーが古いF5 BIG-IPへマルウェアを仕込みデータ窃取
Twilioが提供するMFA「Authy」へ不正アクセス 3,300万件のデータ漏洩の可能性
セキュリティインシデント 事例【2024年】
Veeam Backup & Replicationを狙うランサムウェア攻撃が発生
Oracle Cloudへの不正アクセスと情報漏洩 疑惑、Oracle Fusion Middlewareの脆弱性を悪用か(CVE-2021-35587)
160億件超の個人情報漏洩 疑惑は新事実か、それとも既存データの再集約か?
ボルボ北米、HRソフトサプライヤー「Miljödata」へのサイバー攻撃で人事情報が漏洩
