···

1億4900万件のパスワードがオンラインで流出:Gmail、Yahoo、Outlookのログイン情報が無防備なインフォスティーラーデータベースで発見

1月 24, 2026
by
149 Million Passwords Exposed Online: Gmail, Yahoo and Outlook Logins Found in Unsecured Infostealer Database

ロンドン、2026年1月24日、12:01(GMT)

  • 研究者ジェレマイア・ファウラーは、1億4,940万4,754件のユニークなログイン情報とパスワードが無防備なオンラインデータベースで発見され、その後オフラインになったことを明らかにした。
  • このキャッシュには、約4,800万件のGmail認証情報のほか、ソーシャルメディア、ストリーミングサービス、暗号通貨アカウント、そして一部の政府ドメインに関連するログイン情報が含まれていた。
  • アナリストは、低コストの「インフォスティーラー」マルウェアサービスがこの種のデータを使ってアカウント乗っ取りを自動化できると警告した。

約1億4,900万件の盗まれたユーザー名とパスワードを含むオープンなオンラインデータベース(うち約4,800万件はGmailアカウントに紐づく)が、研究者がホストに警告した後に削除されたと、サイバーセキュリティ専門家のジェレマイア・ファウラーが報告した。ファウラーは、この96ギガバイトのダンプが「パスワード保護も暗号化もされていなかった」と指摘した。( ExpressVPN

この発見は重要で、こうしたコレクションはクレデンシャル・スタッフィング(盗まれたパスワードをさまざまな人気サイトで自動的に試す攻撃)に直接利用され、特にデータに直接ログインできるURLが含まれている場合、より精密なフィッシング攻撃の燃料にもなる。

これは、インフォスティーラー・マルウェア(感染したデバイスから認証情報をこっそり盗む悪意のあるソフトウェア)が、単発的な攻撃から犯罪の恒常的な供給源へと変化している時期に起きている。

ファウラーはWIREDのインタビューで、このキャッシュを「犯罪者にとっての夢のウィッシュリスト」と表現した。Recorded Futureの脅威インテリジェンスアナリスト、アラン・リスカは、インフォスティーラーは「非常に参入障壁が低い」と指摘し、最上級のインフラをレンタルする場合、通常月額200~300ドル程度だと述べた。( WIRED

TechRepublicは、流出したログには単なるパスワードリスト以上のものが含まれていたことを明らかにした。メールアドレス、ユーザー名、そしてそれらの認証情報が試せるサイトへの直接リンクも含まれていた。この仕組みにより、攻撃者はユーザーがパスワードを更新したり、プラットフォームが侵害されたアカウントを無効化する前に、アカウント乗っ取りを迅速に自動化しやすくなる。( TechRepublic

ファウラーは、彼が調査した記録には、ソーシャルメディアやストリーミングプラットフォームから出会い系アプリ、銀行や暗号通貨取引のログインなどの金融アカウントまで、幅広いものが含まれていたと指摘した(いずれも限定的なサンプル内で)。

また、政府の「.gov」ドメインに紐づく認証情報も確認されており、これらはなりすましに悪用されたり、アカウントの権限次第ではより大規模な侵害の入り口となる可能性があると指摘した。

彼は、データベースには所有者に関する情報が一切なく、ホスティングが最終的に停止されるまでにほぼ1か月かかり、何度も試みが必要だったと述べた。

ファウラーは、データを発見してから削除されるまでの間に記録の量が増加していたことを指摘し、その間に他者がこのデータをコピーしたリスクが高まったと述べた。

Security Magazineは、このキャッシュに約4,800万件のGmailアカウント、400万件のYahooログイン、150万件のMicrosoft Outlook用アカウント、さらにソーシャルメディアやストリーミングプラットフォームに関連する数百万件が含まれていたと報じました。Keeper Securityの最高情報セキュリティ責任者であるShane Barney氏は、「これは従来の意味での侵害ではありません」と指摘しています。( Securitymagazine

SC Mediaは、このデータベースがFowler氏が調査した過去のインフォスティーラーダンプとは異なり、逆引きホスト名や各レコードごとのユニークなラインハッシュなどの追加フィールドが含まれている点が際立っていると指摘しました。「このようなインフォスティーラーによる侵害は、単独のアカウントだけでなく、他の情報も漏洩します」とBlack DuckのシニアセキュリティエンジニアであるBoris Cipot氏はSC Mediaへのメールで述べています。( SC Media

不明な点として、流出した認証情報には古いものと現在有効なものの両方が含まれている可能性があり、多くはユーザーがパスワードを変更したり、プロバイダーがリセットを強制した場合、すでに無効になっているかもしれません。それでも、マルウェアが端末に残っていれば、パスワードを変更しても一時的な対策にしかならず、次回のログインも再び傍受される恐れがあります。

セキュリティ専門家は通常、2要素認証の有効化(コードやアプリのプロンプトなど追加のログイン手順)や、パスワードの使い回しを避けることを推奨しています。企業側では、多くが自動サインインの急増を監視し、不審な試行をブロックしていますが、こうした防御策はサービスごとに大きく異なります。

データベースの公開コピーを1つ削除できても、それは小さな勝利に過ぎません。認証情報のダンプは一度出回ると急速に拡散する傾向があります。組織にとって警告は変わりません:盗まれたパスワードは依然として大きな弱点であり、それを供給する流れが止まる気配はありません。

How to Know If Your Password Was Compromised
この動画を YouTube で視聴.

Mateusz Ługowik

Technology News

  • Google works to fix Gmail filter glitch causing inbox floods and spam warnings
    January 24, 2026, 5:08 PM EST. Google says it is actively fixing a Gmail problem that misclassifies messages and floods inboxes with spam warnings. Users report delays in delivery and issues with two-factor authentication logins. Google confirmed the issue to Engadget and on its Workspace status dashboard, saying it is aware and working to resolve. The problem triggers banners such as 'Be careful with this message. Gmail hasn't scanned this message for spam, unverified senders, or harmful software.' Google advised following standard best practices for messages from unknown senders while investigating. Officials cited misclassification of emails as the root cause; updates will follow as engineers test a fix.