パスワード使い回し、まだ続けてる？ 160億件流出の今、さすがに考え直すべきこと

パスワードはまさにパスワードが登場した時代の産物であって、デジタル時代の技術とは言い難いことです。 サイバーセキュリティの脅威は、パスワードで保護できる範囲をはるかに超えて進化しており、パスワードは今や役に立たない代物になってしまいました。 たとえ、パスワードの作成方法や、安全な管理方法を正しく実践したところで、もうどうしようもありません。 そのことを明確に示すのが、最近報道されたパスワード漏洩のニュースです。漏洩件数はこれまでで最大規模で、研究者たちは、数百万件どころか数百億件のパスワードがウェブ上に流出していることを発見したのです。

「Cybernews」が2025年6月20日に報じた記事によると、同メディアの研究者たちは今年に入ってから、インターネット上に漏洩していたデータセットを30件、発見しました。 各データセットには「数千万から35億件を超えるレコード」が含まれており、合計すると160億件のパスワードがウェブ上に流出していることがわかったというのです。 それだけではありません。これらのパスワードはすべて、新たに流出したものです。2025年5月に、保護されていないデータベースで見つかった約1億8000万件のパスワードを除けば、これまでのデータ漏洩で報告されていたものは1つもありません。 研究者たちは、数週間ごとに新しい「膨大な」データセットを発見し続けているといいます。つまり、流出はまったく衰える気配がないのです。

研究者たちによると、データの構成から、認証情報が「Infostealer（インフォスティーラー）」を介して盗まれたのはほぼ間違いないようです。 Infostealerとは、デバイスからこの種の機密情報だけを取得するマルウェアです。悪意ある攻撃者は、AppleやGoogle、GitHub、Facebook、Telegram、さまざまな行政サービスなど、主要なアカウントのログイン情報を取得することができたわけです。 ただし、Cybernewsがはっきりと書いているように、これらの企業で情報漏洩が起きたわけではありません。 データベースには、これらの企業のログインページのログインURLが含まれていました。個々のデバイスから取得されたこうしたデータは、おそらくマルウェアを使って盗まれたものでしょう。 一部の認証情報には、ユーザーネームやパスワード以外に、Cookieやセッショントークンなどの情報も含まれていました。 それはつまり、この情報が一部のアカウントの二要素認証を回避するために使われる可能性があるということです。特に、パスワードを変更してもCookieがリセットされないアカウントは、注意が必要です。 この記事の中にわずかな希望があるとすれば、160億件のパスワードが漏洩したからといって、それが160億件の個人レコードというわけではないことです。 一部重複するものがあるのです。ただし、どれくらい重複しているかはわかりません。漏洩の被害を受けた個人アカウントは、160億件より少ないと言って差し支えありませんが、正確な件数を知ることが難しいのも事実です。