史上最大160億件のパスワード流出が発覚

サイバーセキュリティ企業「Cybernews」は2025年6月19日、これまでに確認された中で最大規模となる160億件超のログイン認証情報の漏洩があったと発表した。この情報漏洩は、過去の再利用ではなくほぼすべてが新規に収集されたデータで構成されているとされる。

研究を主導したヴィリウス・ペトカウスカス氏によると、「30以上のデータセットが発見され、それぞれ数千万件から最大35億件の認証情報が含まれていた。重複を除いても160億件以上にのぼる」という。

流出データにはAppleや政府機関の情報も

流出した認証情報には、以下のようなサービスのログイン情報が含まれていたとされる。

• Apple
• Google
• Facebook
• GitHub
• Telegram
• 各国政府関連のオンラインサービス

これらの情報は、URL、ログインID、パスワード、セッショントークン、クッキー、メタデータなどで構成され、攻撃者がアカウント乗っ取りや不正アクセスを行うには十分な内容だと指摘されている。

流出の原因はインフォスティーラー型マルウェア

今回の大規模漏洩の原因は、「インフォスティーラー」と呼ばれる情報窃取型マルウェアによるものとされている。このマルウェアは、ユーザーのPCやスマートフォンに感染し、保存されたログイン情報やセッションデータを密かに収集して攻撃者に送信する。

特に問題視されているのは、これらのデータが構造化されており、直ちにフィッシング攻撃やアカウント乗っ取りに利用できる“武器化された情報”である点である。

Cybernewsの研究者らは「これは単なる情報漏洩ではなく、大規模悪用の設計図だ」と警告を発している。

パスワード変更と多要素認証が急務

サイバーセキュリティ専門家らは、この漏洩により個人・企業・政府のアカウントが極めて高いリスクにさらされていると指摘。すぐに以下の対策を取るよう勧めている。

• すべてのパスワードを即時変更すること
• サービスごとに異なる強力なパスワードを使うこと
• 可能な限り多要素認証（MFA）を導入すること
• 信頼性の高いパスワードマネージャーを活用すること

Googleはすでに、指紋認証や顔認証などの「パスキー」への移行を推奨しており、Microsoftも不審な添付ファイルの開封に警戒を呼びかけている。

データの所有者・流出経路は依然不明

今回の流出データは一部、未保護のElasticsearchサーバーやオブジェクトストレージからアクセス可能な状態で放置されていた。漏洩元やデータを管理していた人物の特定には至っていない。研究者らは、これらの情報がダークウェブ上で売買されることで、世界中の個人・企業がサイバー攻撃の標的になるリスクがあると強調している。

仮想通貨ユーザーも標的に

特に注意を要するのが、仮想通貨取引などを行うユーザーだ。Binance創設者のCZ氏は、「サイトごとに異なるメールアドレスとパスワードを設定し、ハードウェアによる二段階認証を導入すべき」と警告している。

「自分は関係ない」は通用しない

Cybernewsは「160億件の情報漏洩は、今後のサイバー攻撃の基盤となる可能性がある」とし、サイバー衛生（cyber hygiene）の徹底を呼びかけている。私たちは今、デジタル社会における基本的な自己防衛を求められている。