世界最大級のインフォスティーラー攻撃、Googleは「サーバー侵害ではない」と反論
■ 世界を震撼させた1億8300万件の流出
2025年10月21日、セキュリティ研究者たちが確認した驚異的な規模のデータ流出が世界を騒がせました。
Gmailアカウントを含む1億8300万件の電子メールパスワードが、サイバー攻撃によって漏えいしたのです。
この情報は、著名な漏洩データ確認サイト「Have I Been Pwned(HIBP)」のデータベース上に新たに追加され、
2025年に発生した中で最大級の認証情報流出事件と位置づけられています。
■ Google「Gmailのサーバーは侵害されていない」
この報道が拡散すると、SNS上では「Gmailがハッキングされた」との誤解が広がりました。
しかし、Googleは即座に公式声明を発表し、強い口調で次のように反論しています。
「数百万人のユーザーに影響を与えるGmailサーバー侵害という報道は誤りです。
今回の流出は、Gmailのサーバーへの不正アクセスではなく、ユーザーの端末がマルウェアに感染したことが原因です。」
つまり、攻撃者が狙ったのはGoogleのシステムそのものではなく、ユーザーの手元のデバイス。
感染したパソコンやスマートフォンから、ログイン情報が盗み取られたという構図です。
■ 「インフォスティーラー」――静かに忍び寄るデジタル泥棒
今回の事件で使われたのは、「インフォスティーラーマルウェア(Infostealer Malware)」と呼ばれる情報窃取型ウイルスです。
🧠 インフォスティーラーとは?
ユーザーのパソコンやスマホに侵入し、ブラウザの保存データ・クッキー・パスワード・セッショントークンなどを密かに送信するマルウェア。
感染しても動作が遅くならないため、多くの人が感染に気づかないのが特徴。
このマルウェアは、フィッシングメールや偽のアプリダウンロード、悪意のあるブラウザ拡張機能などを通じて広がります。
感染した端末でユーザーがサービスにログインするたび、入力されたIDやパスワードが外部に送信されてしまうのです。
■ 流出データの規模と中身 ― 「3.5テラバイト」「230億件の記録」
サイバーセキュリティ企業Synthientによる調査で、今回のデータ流出は約1年間にわたるマルウェア活動の集大成であることが判明しました。
同社の監視によると、Telegramやダークウェブ上では盗まれたデータが日常的に取引されており、
今回流出したデータには以下の情報が含まれていたことが確認されています:
- メールアドレス
- パスワード(平文またはハッシュ化)
- ログインに使用されたURL
- セッショントークン(自動ログインを可能にする情報)
HIBPの運営者であるTroy Hunt氏は、このデータセットの規模を次のように説明しています。
「3.5テラバイトに及ぶ情報、総計230億件の記録が含まれており、その中にはGmail関連のアカウントも数百万件含まれていた。」
さらに、流出データのうち約1,640万件は過去の漏えい事件には含まれていない“新規流出”であることも確認されました。
■ クレデンシャルスタッフィング攻撃のリスク
流出したパスワードが実際に使える(=有効な)場合、サイバー攻撃者はそれを使って**「クレデンシャルスタッフィング攻撃」**を仕掛けます。
🔐 クレデンシャルスタッフィングとは?
他サイトで流出したID・パスワードを使って、別のサービスへ自動的にログインを試みる攻撃手法。
同じパスワードを使い回していると、芋づる式に複数のアカウントが乗っ取られるリスクがある。
今回のデータセットに実際のGmailパスワードが含まれていることが確認されたことで、
複数のプラットフォームをまたいだ大規模なログイン攻撃が懸念されています。
■ 91%は既知、しかし“残り9%”が新たな脅威
分析によると、流出した情報の約91%は過去の漏えい事件と重複していました。
しかし、残る9%(約1640万件)はこれまで一度も漏えい履歴のない新規情報です。
これが意味するのは――
「今まで安全だと思っていたアカウントが、今回初めて漏れた」という現実です。
特に企業メールや教育機関ドメインを含むアドレスが検出されており、
研究開発や社内ネットワークへの不正侵入に悪用される可能性も指摘されています。
■ 情報窃取の“新しい潮流”:1日6億件のデータが盗まれる時代
Synthientの主任研究者Benjamin Brundage氏によると、
インフォスティーラーによって盗まれた認証情報は2025年前半だけで前年比800%増に達したといいます。
彼の報告では、マルウェアの活動がピークだった時期、
1日あたり最大6億件のログイン情報が世界中から収集されていたとのこと。
もはや個人の問題にとどまらず、国家規模での情報戦の一環とすら言えるでしょう。
■ Googleが推奨する“現実的な対策”
Googleは今回の事件を受け、次の3つの対策を強く推奨しています。
- 二段階認証(2FA)の有効化
- ログイン時に追加の認証コードを入力することで、パスワード流出だけでは不正アクセスされにくくなります。
- パスキー(Passkey)の導入
- 指紋認証や顔認証などを使い、パスワードを完全に廃止する仕組み。
- 2024年以降、Gmailアカウントでも正式対応済み。
- Have I Been Pwnedで確認
- 自分のメールアドレスを入力することで、過去に流出したことがあるか即座に確認できます。
- 該当があれば、即時パスワード変更と多要素認証の設定が必須です。
■ 結論:安全神話の崩壊と“個人防衛”の時代
今回の事件は、どれほど大手企業のシステムが強固でも、
**最終的な弱点は「ユーザーの端末」**にあることを改めて示しました。
クラウドセキュリティが進化しても、個人デバイスの感染が続けば、
攻撃者は「裏口」から容易に侵入できてしまいます。
これからの時代に求められるのは、
企業の防衛力ではなく**“一人ひとりのサイバー衛生(Cyber Hygiene)”**です。
パスワードを守ることは、あなたのデータだけでなく、社会全体の安全を守る行為でもあるのです。
🔗 出典・参考情報
- The Economic Times, Yahoo! News UK, IBTimes UK, evrimagaci.org, Synthient Security Report (2025)
- Google公式Xアカウント声明(2025年10月22日)
- Have I Been Pwned Database, Troy Hunt
- Cybersecurity & Infrastructure Security Agency (CISA) 推奨ガイドライン
