グーグルがGmailに関する大規模なセキュリティ侵害の誤報を公式に否定してから間もなく、再び膨大な数値が公表され、情報の混乱が広がる事態となっている。今回明らかになったのは、20億件に及ぶメールアドレスと、13億件を超えるユニークなパスワードが流出したという事実であり、そのうち6億2500万件はこれまで漏洩が報告されていなかったものである。このような状況下、私たちは本当に十分な注意を払っていると言えるのだろうか。
「Have I Been Pwned」のトロイ・ハント氏が、今回もまた新たな警告を発信している。彼は「データ侵害に関する誇張された報道には否定的だ」と述べつつも、「今回の『20億件のメールアドレス』という見出しは誇張ではなく、事実に基づいている」と明言した。なお、今回の漏洩はGmail自体の侵害ではなく、ハント氏もその誤解が拡大しないよう強調している。数週間前には、情報窃取マルウェアのログを発端とした虚偽報道がなされた経緯があり、同じ過ちを繰り返さぬよう、正確な情報の伝達が求められている。
Gmailは世界最大規模のメールプラットフォームであり、今回流出したデータにも多く含まれているが、「ユニークなメールアドレス3億9400万件」に過ぎない。すなわち、全体の8割はGmailと無関係であり、Gmailアドレスであってもグーグル側のセキュリティ脆弱性が原因ではないことが明らかにされている。
グーグルが推奨する対策としては、「二要素認証(2FA)の有効化」および「パスキーの利用」が挙げられる。これらはGmailの利用有無にかかわらず、すべてのユーザーに推奨されている。今回のような大規模なパスワード漏洩が判明した場合には、速やかにパスワードをリセットすることが重要である。実際、攻撃者はパスワードを用いて正規の手順でログインを試みることが多く、このような事案は今後も継続的に発生すると考えられる。
現代においては、パスワードやメールアドレスがオンライン上のどこかで漏洩している可能性が極めて高い。ウェブサービス自体の侵害だけでなく、インフォスティーラー型マルウェアによる個人端末からの情報流出も少なくない。いずれにしても、結果として認証情報が不正利用されるリスクは避けがたい。ハント氏も「これまでに扱った中で最も広範なデータセットである」と述べている。
このような状況下で、パスワードとメールアドレスの組み合わせのみでアカウントを保護することは、自宅の玄関に鍵を差しっぱなしにして外出するのと同じほど危険である。現実には、多くの主要ウェブサイトやプラットフォームが、利用者の安全確保のために二要素認証やパスキーといった追加的な認証手段を提供しているにもかかわらず、未だ多くのユーザーがこれらを十分に活用していない。
特に、SMSによる二要素認証は安全性に課題があるため、スマートフォンの認証アプリを利用することが推奨される。さらに、対応するすべてのアカウントでパスキーを導入すれば、認証情報が漏洩したとしても悪用されるリスクを大幅に低減できる。グーグルやマイクロソフト、メタ、アマゾン、アップルなど主要な事業者は、ユーザーが容易に設定できるよう環境を整備している。
結局のところ、これらの基本的な対策を講じない限り、ユーザー自身が重大なリスクに晒され続けることになる。情報漏洩の時代にあっては、より強固な認証手段を積極的に導入し、自らのデジタル資産を守る姿勢が求められている。
