日本新闻: 過去最大規模の認証情報漏洩事件――13億件超のユニークパスワード流出とその影響

グーグルがGmailジーメールに関かんする大規模だいきぼなセキュリティ侵害しんがいの誤報ごほうを公式こうしきに否定ひていしてから間まもなく、再ふたたび膨大ぼうだいな数値すうちが公表こうひょうされ、情報じょうほうの混乱こんらんが広ひろがる事態じたいとなっている。今回こんかい明あきらかになったのは、20億件おくけんに及およぶメールアドレスと、13億件おくけんを超こえるユニークなパスワードが流出りゅうしゅつしたという事実じじつであり、そのうち6億2500万件おくにせんごひゃくまんけんはこれまで漏洩ろうえいが報告ほうこくされていなかったものである。このような状況下じょうきょうか、私わたしたちは本当ほんとうに十分じゅうぶんな注意ちゅういを払はらっていると言いえるのだろうか。

「Have I Been Pwned」のトロイ・ハント氏しが、今回こんかいもまた新あらたな警告けいこくを発信はっしんしている。彼かれは「データ侵害しんがいに関かんする誇張こちょうされた報道ほうどうには否定的ひていてきだ」と述のべつつも、「今回こんかいの『20億件おくけんのメールアドレス』という見出みだしは誇張こちょうではなく、事実じじつに基もとづいている」と明言めいげんした。なお、今回こんかいの漏洩ろうえいはGmailジーメール自体じたいの侵害しんがいではなく、ハント氏しもその誤解ごかいが拡大かくだいしないよう強調きょうちょうしている。数週間前すうしゅうかんまえには、情報じょうほう窃取せっしゅマルウェアのログを発端ほったんとした虚偽きょぎ報道ほうどうがなされた経緯けいいがあり、同おなじ過あやまちを繰くり返かえさぬよう、正確せいかくな情報じょうほうの伝達でんたつが求もとめられている。

Gmailジーメールは世界最大規模せかいさいだいきぼのメールプラットフォームであり、今回こんかい流出りゅうしゅつしたデータにも多おおく含ふくまれているが、「ユニークなメールアドレス3億9400万件おくきゅうひゃくよんじゅうよんまんけん」に過すぎない。すなわち、全体ぜんたいの8割わりはGmailジーメールと無関係むかんけいであり、Gmailジーメールアドレスであってもグーグル側がわのセキュリティ脆弱性ぜいじゃくせいが原因げんいんではないことが明あきらかにされている。

グーグルが推奨すいしょうする対策たいさくとしては、「二要素認証にようそにんしょう（2FA）の有効化ゆうこうか」および「パスキーの利用りよう」が挙あげられる。これらはGmailジーメールの利用りよう有無うむにかかわらず、すべてのユーザーに推奨すいしょうされている。今回こんかいのような大規模だいきぼなパスワード漏洩ろうえいが判明はんめいした場合ばあいには、速すみやかにパスワードをリセットすることが重要じゅうようである。実際じっさい、攻撃者こうげきしゃはパスワードを用もちいて正規せいきの手順てじゅんでログインを試こころみることが多おおく、このような事案じあんは今後こんごも継続的けいぞくてきに発生はっせいすると考かんがえられる。

現代げんだいにおいては、パスワードやメールアドレスがオンライン上じょうのどこかで漏洩ろうえいしている可能性かのうせいが極きわめて高たかい。ウェブサービス自体じたいの侵害しんがいだけでなく、インフォスティーラー型がたマルウェアによる個人こじん端末たんまつからの情報じょうほう流出りゅうしゅつも少すくなくない。いずれにしても、結果けっかとして認証情報にんしょうじょうほうが不正利用ふせいりようされるリスクは避さけがたい。ハント氏しも「これまでに扱あつかった中なかで最もっとも広範こうはんなデータセットである」と述のべている。

このような状況下じょうきょうかで、パスワードとメールアドレスの組くみ合あわせのみでアカウントを保護ほごすることは、自宅じたくの玄関げんかんに鍵かぎを差さしっぱなしにして外出がいしゅつするのと同おなじほど危険きけんである。現実げんじつには、多おおくの主要しゅようウェブサイトやプラットフォームが、利用者りようしゃの安全確保あんぜんかくほのために二要素認証にようそにんしょうやパスキーといった追加的ついかてきな認証手段にんしょうしゅだんを提供ていきょうしているにもかかわらず、未いまだ多おおくのユーザーがこれらを十分じゅうぶんに活用かつようしていない。

特とくに、SMSによる二要素認証にようそにんしょうは安全性あんぜんせいに課題かだいがあるため、スマートフォンの認証アプリにんしょうアプリを利用りようすることが推奨すいしょうされる。さらに、対応たいおうするすべてのアカウントでパスキーを導入どうにゅうすれば、認証情報にんしょうじょうほうが漏洩ろうえいしたとしても悪用あくようされるリスクを大幅おおはばに低減ていげんできる。グーグルやマイクロソフト、メタ、アマゾン、アップルなど主要しゅような事業者じぎょうしゃは、ユーザーが容易よういに設定せっていできるよう環境かんきょうを整備せいびしている。

結局けっきょくのところ、これらの基本的きほんてきな対策たいさくを講こうじない限かぎり、ユーザー自身じしんが重大じゅうだいなリスクに晒さらされ続つづけることになる。情報漏洩じょうほうろうえいの時代じだいにあっては、より強固きょうこな認証手段にんしょうしゅだんを積極的せっきょくてきに導入どうにゅうし、自みずからのデジタル資産しさんを守まもる姿勢しせいが求もとめられている。

過去かこ最大さいだい規模きぼの認証情報にんしょうじょうほう漏洩事件ろうえいじけん――13億件おくけん超ちょうのユニークパスワード流出りゅうしゅつとその影響えいきょう

最新消息

相關消息