最近、世界中のセキュリティ業界に衝撃が走るニュースが報じられました。 セキュリティ研究者のJeremiah Fowler氏が、インターネット上で暗号化されていない公開データベースを偶然発見。その中には、なんと1億8400万件以上のアカウント情報が保存されていたのです。データの規模は近年でも最大級で、重大な個人情報漏洩事件のひとつといえるでしょう。
さらに驚くべきは、その内容。 Facebook、Google、Appleといった大手プラットフォームのアカウント情報に加え、世界29か国の政府機関のメールアドレスまで含まれていたのです。しかも、アカウント情報にはメールアドレスや電話番号、暗号化されていないパスワードまで含まれており、どのサービスのアカウントか、ログイン用URLまで特定されている始末…。 もし悪意のあるハッカーに悪用されれば、深刻な被害が広がるおそれがあります。
【事件概要】1億8400万件のアカウント情報はどうやって発見されたのか?
Jeremiah Fowler氏が2025年5月22日に発表した調査レポートによると、このデータベースの容量は47GBにも及び、誰でもアクセス・ダウンロードが可能な状態で、パスワード保護も暗号化も一切されていなかったとのこと。 Fowler氏がデータベースを解析したところ、含まれていたのはFacebook、Google、Apple、Instagram、Microsoft、Netflix、PayPal、Discord、Robloxなど、人気プラットフォームのアカウント情報。しかもそれだけでなく、29か国の政府機関のメールアドレスまで含まれていたのです。
さらに、Fowler氏は1万件のアカウント情報をランダムに抽出して検証。その結果、Facebookアカウント479件、Googleアカウント475件、Instagramアカウント240件、Robloxアカウント227件、Discordアカウント209件、さらにNetflix、PayPal、Microsoftなどの人気サービスも100件以上が確認されました。
中でも深刻なのは、アメリカ、オーストラリア、カナダ、中国、インド、イスラエル、サウジアラビア、イギリスなど29か国の政府機関のメールアドレスが含まれていた点です。
Fowler氏は速やかにこのデータベースを管理していたホスティング会社「World Host Group」に通報。現在はすでにデータベースは削除されたものの、公開されていた期間や、すでに第三者にダウンロード・閲覧されていたかどうかは確認できていない状況です。
流出元は「Infostealer」系マルウェアの可能性も
Fowler氏によると、今回流出したアカウント情報は、近年急増している「Infostealer(インフォスティーラー)」系マルウェアによって盗まれた可能性が高いと考えられています。
このタイプのマルウェアは、フィッシングサイト、悪質なWebページ、偽アプリなどを通じてユーザーを騙し、パソコンやスマホに侵入。その後、アカウントのID・パスワード、ブラウザ履歴、Cookie、仮想通貨ウォレット情報、個人証明書などを密かに抜き取ってハッカーのサーバーに送信します。
近年では、Raccoon Stealer、RedLine Stealer、Vidar StealerといったInfostealer系マルウェアがダークウェブで横行。ハッカーたちは、盗み出したアカウント情報のデータをまとめて売買したり、他の犯罪者に提供するなど、悪質な取引が常態化しています。
今回の情報流出で考えられるリスクとは?
これらの高機密なアカウント情報がダークウェブやハッカーの手に渡ると、以下のような深刻なサイバーリスクが発生する恐れがあります。
1. ピンポイント型フィッシング詐欺
流出したメールアドレスや利用サービスの情報をもとに、ハッカーが本物そっくりの偽メールやSMSを送りつけ、ユーザーに偽サイトへのログイン、パスワード再設定、個人情報の入力を促す手口。巧妙な内容で騙されやすく、被害が拡大する危険性があります。
2. なりすまし詐欺
ハッカーが政府機関のメールアドレスやSNSアカウントを入手すると、本人になりすましてメールや投稿を送り、詐欺情報や悪意あるファイルを拡散。被害の拡大につながる恐れがあります。
3. 金融口座の不正利用
データベースには金融口座に関連する情報も含まれている疑いがあり、ハッカーはこれを悪用して口座からの不正送金やカードの不正利用などの金融犯罪を行う可能性があります。
4. SNSアカウントの乗っ取り
ハッカーがアカウントのパスワードを入手し、二段階認証などの追加セキュリティが設定されていない場合、Facebook、Instagram、DiscordなどのSNSアカウントに不正アクセス。詐欺リンクや偽投資広告を拡散したり、なりすまして友人や家族から金銭を騙し取る恐れがあります。
5. クレデンシャルスタッフィング攻撃
クレデンシャルスタッフィング攻撃とは、流出したアカウントとパスワードの組み合わせを使って、他の機関やプラットフォームに不正ログインを試みる手法です。
もしユーザーが複数のサービスで同じアカウント情報を使い、二段階認証(2FA)や多要素認証(MFA)を設定していなければ、ハッカーは一度に多数のアカウントを乗っ取る可能性があります。
6. ソーシャルエンジニアリング攻撃
ハッカーは被害者の個人情報や過去のログイン履歴を把握し、銀行のカスタマーサポートやIT技術サポートを装って連絡。電話やビデオ通話で情報を確認しながら詐欺行為を働く手口です。
個人や企業は個人情報流出にどう対応すべきか?
1. まずはアカウントの流出確認を行う
「Have I Been Pwned」やセキュリティソフトに搭載されたアカウント安全チェック機能を利用して、メールアドレスやアカウント情報が流出していないか確認しましょう。もし流出が判明した場合は、速やかにパスワードを変更することが大切です。
2. 重要なアカウントのパスワードをすべて更新する
特にメール、銀行、決済、SNSなどの重要アカウントは、パスワードを長め(12文字以上)に設定し、大文字・小文字・数字・記号を組み合わせることをおすすめします。また、複数のサービスで
同じパスワードを使い回さないことも重要です。
3. 多要素認証(MFA)の導入
パスワードに加え、FIDOセキュリティキーや多要素認証を設定してアカウントの安全性を高めましょう。アメリカのサイバーセキュリティ・インフラセキュリティ庁(CISA)によると、多要素認証を有効にすることで、99%のハッカー攻撃を防げるとされています。
Keypascoの多要素認証ソリューションでは、認可されたユーザーのみが、登録済みのデバイスから、指定の場所と時間にログイン可能です。独自特許の2チャネル認証アーキテクチャを採用し、ログインと認証の暗号化経路を分離。これにより、中間者攻撃(MiTM)、ブラウザ中間者攻撃(MiTB)、フィッシング詐欺、アカウント乗っ取り(ATO)を効果的に防止します。 さらに、NFC対応デバイスを使った迅速かつ安全な認証デバイスの移行や、「Sign What You See」が可能なKeypascoアプリの利用により、従来のSMS認証と比べて、より高い安全性とコスト削減が可能になります。
4. 定期的なアカウント異常監視
アカウントのログインデバイスやログイン場所を常にチェックし、不審なログインや見知らぬデバイスからのアクセスがないか確認しましょう。異常を感じた場合は、すぐにパスワードを変更し、すべてのデバイスからログアウトすることが重要です。
5. 企業は従業員のセキュリティ意識向上を強化する
定期的にセキュリティ研修を行い、従業員のフィッシングや詐欺への警戒を強化することが重要です。人的ミスによるセキュリティ事故を防止しましょう。
6. 企業はゼロトラストアーキテクチャ(Zero Trust Network Access)を導入する
誰やデバイスも最初から信頼せず、すべてのアクセス要求に対して認証を行い、最小権限の原則を適用します。ユーザーの行動パターンを継続的に監視し、異常があれば即座にログアウトさせる仕組みを導入しましょう。
「Keypasco ZTNA」はゼロトラストアーキテクチャに基づくセキュリティソリューションです。アメリカのNIST、CISA基準や台湾政府のゼロトラスト技術アーキテクチャを参考に設計され、国家資通安全研究院の認証を取得。ID認証、デバイス認証、信頼推論技術により、企業や公共・民間部門の包括的で強力なセキュリティ保護を支援します。
- 本人認証:多要素認証に対応し、FIDO U2F、FIDO2ソリューションを提供。
- デバイス認証:デバイスの特徴やソフトウェア情報をスキャンし、Keypascoサーバーに保存して認証を実施。
- 信頼推定:人工知能による行動分析を用いてリスクを継続的に評価し、新たな認証をトリガー。
Keypascoは各国の法規や実務ニーズに対応しており、すでに国内外の政府機関、金融サービス、医療機関、スマートビルディング、ハイテク産業などで導入されています。今後も企業のセキュリティコンプライアンス能力の強化を支援し、多様な現場のニーズに応えていきます。