Googleは2025年10月27日、1億8,300万件のパスワード流出に関する報告を否定する声明を発表しました。オーストラリアのサイバーセキュリティ専門家トロイ・ハントが運営する侵害通知サイト「Have I Been Pwned」は、3.5テラバイトのデータベースがオンラインで浮上したと報告していました。
Googleは、このデータベースはGmail単独の侵害ではなく、GmailやOutlook、Yahooを含む複数のサービスから過去に盗まれた認証情報を集約したものであると説明しました。
ハントは4月に流出を最初に検出し、先週公開されたと主張しています。Googleは、infostealer activity(ステーラーログおよび認証情報スタッフィングリスト)によるもので、単一の具体的な攻撃ではないと述べました。同社は2段階認証、パスキー、パスワードリセット、セキュリティチェックアップをセキュリティ対策として推奨しています。
From: 
Google Says Claims About Gmail Security Breach Impacting Millions of Users False
【編集部解説】
今回のニュースは、一見するとGmailの大規模セキュリティ侵害のように見えますが、実際のところは大きく異なります。何が起きたのか、そしてそれが意味することを、テクノロジーの視点から整理してみましょう。
まず重要な点として、このデータベースはGmailへの直接的な攻撃ではなく、「infostealer」と呼ばれるマルウェアによる被害の集約です。infostealerとは、ユーザーのデバイス上にインストールされた状態で、ブラウザの履歴やパスワード、ウェブサイトのURLを盗み取るマルウェアのこと。Googleのサーバーが侵害されたわけではなく、個々のユーザーのコンピュータやブラウザが感染することで、その機器内に保存されていたGmailの認証情報が流出しているのです。この違いは極めて重要です。
データの規模は確かに膨大です。3.5テラバイトのデータベースには、23億行のレコードが含まれており、その中に約1億8,300万件のユニークなメールアドレスとパスワードの組み合わせが存在します。ただし、Synthient社による分析の結果、このデータの92%は過去に既に報告されたものであり、新たに検出されたのは約1,640万件のメールアドレスに過ぎません。つまり、大部分は数年前から存在していた古い情報の再流通なのです。
このニュースが大きく報道されてしまった背景には、メディアの情報リテラシーの問題もあります。Troy Hunt氏のHave I Been Pwned(HIBP)に新しいデータセットが追加されたというニュースが、あたかもGmailで新しい侵害が発生したかのように報道されてしまったのです。Hunt氏自身が指摘している通り、「意図的に誤解を招く見出しが、クリック数を稼ぐためにニュースサイトで使われた」という側面があります。
次に、テクノロジーと人間の行動の関係を考える必要があります。infostealerが機能する理由は、ユーザーが複数のサービスで同じパスワードを使い回すからです。Yahooで盗まれたパスワードがGmailでも機能する、Facebookで使用されていたパスワードがOutlookでも使える、という状況が生まれるわけです。つまり、技術的な脆弱性よりも、ユーザーの行動習慣そのものが最大のリスクになっているのです。
Googleが強調している「Gmail のディフェンスは強固である」というコメントも、実は真実です。Gmailのインフラストラクチャ側には、エンドツーエンド暗号化や多要素認証などの高度なセキュリティ機構が装備されています。問題は、これらの防御がいかに堅牢であっても、ユーザーのデバイスがmalwareに感染していれば、その保護は無効化されてしまうということです。
規制と業界への影響という観点では、このような情報の誤解・誇張が繰り返されることで、サイバーセキュリティ規制が感情的に厳しくなる可能性があります。また、一般ユーザーのセキュリティリテラシー向上の重要性がますます明確になってきました。
将来的には、パスワード認証そのものが徐々に廃止される方向へ進むと考えられます。Googleが提案している「passkeys(パスキー)」は、生体認証(指紋、顔認証)やデバイス固有のセキュリティを活用する次世代の認証方式です。この技術が普及すれば、たとえユーザーのデバイスがmalwareに感染していても、パスワードそのものが盗まれるという状況は回避できるようになります。
今回の事案が示唆していることは、企業のセキュリティ対策の堅牢さと同時に、ユーザー側の意識向上、そしてパスワード認証という古いシステムからの脱却の必要性なのです。innovaTopiaの読者の皆様であれば、このニュースから得られるべき教訓は、テクノロジーの進化だけでなく、それを支える人間の行動変容がいかに重要であるかということなのです。
【用語解説】
Infostealer(インフォスティーラー)
ユーザーのコンピュータに感染し、ブラウザに入力されたパスワード、ウェブサイトのURL、閲覧履歴などを盗み取るマルウェア。感染したデバイスから自動的に認証情報を収集し、攻撃者に送信される。Gmailなどのウェブサービスにアクセスした際の認証情報も同様に盗まれる。
Credential Stuffing(認証情報スタッフィング)
盗まれたメールアドレスとパスワードの組み合わせを、複数のウェブサービスへのログイン試行に使用する攻撃手法。ユーザーが複数サービスで同じパスワードを使い回すことが、この攻撃が機能する主な原因となる。
Stealer Logs(スティーラーログ)
infostealerマルウェアが収集した認証情報の記録。ウェブサイトアドレス、メールアドレス、パスワードの三要素で構成されることが多い。複数のサイバー犯罪者によってテレグラムやダークウェブで繰り返し再販売されることが特徴。
Passkeys(パスキー)
生体認証(指紋、顔認証)またはデバイスのロック解除機能を用いた認証方式。従来のパスワード認証に代わる次世代の認証技術で、パスワードを入力する必要がないため、盗難リスクが大幅に低減される。
Two-Step Verification(2段階認証)
パスワードに加えて、別の確認方法(SMSコード、アプリ通知、セキュリティキーなど)を要求する認証方式。仮にパスワードが盗まれても、追加の認証段階なしではアカウントへのアクセスが困難になる。
Have I Been Pwned(HIBP)
Troy Hunt氏により運営される、個人のメールアドレスがデータ侵害に巻き込まれたかどうかを検索できるサイト。複数のデータ漏洩情報を集約し、ユーザーが無料で自身の情報流出状況を確認できる。
Synthient
脅威インテリジェンスプラットフォーム。infostealerマルウェアログなど、ダークウェブやテレグラムから得られた複数のデータソースを集約・分析し、セキュリティ脅威に関する情報を提供する組織。
【参考リンク】
Google公式セキュリティセンター(外部)
Googleアカウントのセキュリティに関する公式ガイド。2段階認証やパスキー設定方法を紹介。
Have I Been Pwned(HIBP)(外部)
Troy Hunt氏による無料の情報流出検索サービス。メールアドレスの漏洩状況を確認できます。
Pwned Passwords(外部)
Have I Been Pwned の関連サービス。使用中のパスワード漏洩の有無が安全に確認できます。
Troy Hunt公式ブログ(外部)
サイバーセキュリティ専門家による詳細解説。Synthientデータの技術分析も掲載。
Google アカウントのパスキー(外部)
Googleの公式パスキーページ。セットアップ方法と使用方法が詳しく説明されています。
【参考動画】
【参考記事】
Inside the Synthient Threat Data – Troy Hunt(外部)
Troy Hunt氏による最も詳細な技術分析。3.5テラバイトの構成、92%が過去報告済みの根拠を記載。
Google says talk of Gmail breach impacting millions not true(外部)
Googleの公式声明検証記事。Infostealerデータベースの循環特性を詳細に説明しています。
183M Gmail Passwords Exposed Via Infostealer Malware(外部)
データ規模と技術的側面の詳細。ユーザー側対策の重要性を強調した記事です。
Gmail Passwords Confirmed Within 183 Million Account Infostealer Data(外部)
Forbes記者による詳細報道。データの背景と実態を掘り下げた分析記事。
【編集部後記】
このニュースを目にしたとき、皆さんはどんな感情を抱きましたか?不安を感じた方、疑問に思った方、いろいろいらっしゃると思います。実は、メディアの見出しと事実のズレが、こうした不安を生み出しているのです。
皆さんなら、複数の情報源から事実を検証する力をお持ちだと思います。今回のような場面で、その力をぜひ発揮してみてください。パスキーへの移行、2段階認証の設定など、自分の身を守るアクションを選ぶこともできます。テクノロジーの進化を知ることと同じくらい、情報リテラシーも大切な時代です。一緒に未来を正しく読み解いていきましょう。
