··

1億4900万件のパスワードがオンラインで流出:Gmail、Yahoo、Outlookのログイン情報が無防備なインフォスティーラーデータベースで発見

1月 24, 2026
by
149 Million Passwords Exposed Online: Gmail, Yahoo and Outlook Logins Found in Unsecured Infostealer Database

ロンドン、2026年1月24日、12:01(GMT)

  • 研究者ジェレマイア・ファウラーは、1億4,940万4,754件のユニークなログイン情報とパスワードが無防備なオンラインデータベースで発見され、その後オフラインになったことを明らかにした。
  • このキャッシュには、約4,800万件のGmail認証情報のほか、ソーシャルメディア、ストリーミングサービス、暗号通貨アカウント、そして一部の政府ドメインに関連するログイン情報が含まれていた。
  • アナリストは、低コストの「インフォスティーラー」マルウェアサービスがこの種のデータを使ってアカウント乗っ取りを自動化できると警告した。

約1億4,900万件の盗まれたユーザー名とパスワードを含むオープンなオンラインデータベース(うち約4,800万件はGmailアカウントに紐づく)が、研究者がホストに警告した後に削除されたと、サイバーセキュリティ専門家のジェレマイア・ファウラーが報告した。ファウラーは、この96ギガバイトのダンプが「パスワード保護も暗号化もされていなかった」と指摘した。( ExpressVPN

この発見は重要で、こうしたコレクションはクレデンシャル・スタッフィング(盗まれたパスワードをさまざまな人気サイトで自動的に試す攻撃)に直接利用され、特にデータに直接ログインできるURLが含まれている場合、より精密なフィッシング攻撃の燃料にもなる。

これは、インフォスティーラー・マルウェア(感染したデバイスから認証情報をこっそり盗む悪意のあるソフトウェア)が、単発的な攻撃から犯罪の恒常的な供給源へと変化している時期に起きている。

ファウラーはWIREDのインタビューで、このキャッシュを「犯罪者にとっての夢のウィッシュリスト」と表現した。Recorded Futureの脅威インテリジェンスアナリスト、アラン・リスカは、インフォスティーラーは「非常に参入障壁が低い」と指摘し、最上級のインフラをレンタルする場合、通常月額200~300ドル程度だと述べた。( WIRED

TechRepublicは、流出したログには単なるパスワードリスト以上のものが含まれていたことを明らかにした。メールアドレス、ユーザー名、そしてそれらの認証情報が試せるサイトへの直接リンクも含まれていた。この仕組みにより、攻撃者はユーザーがパスワードを更新したり、プラットフォームが侵害されたアカウントを無効化する前に、アカウント乗っ取りを迅速に自動化しやすくなる。( TechRepublic

ファウラーは、彼が調査した記録には、ソーシャルメディアやストリーミングプラットフォームから出会い系アプリ、銀行や暗号通貨取引のログインなどの金融アカウントまで、幅広いものが含まれていたと指摘した(いずれも限定的なサンプル内で)。

また、政府の「.gov」ドメインに紐づく認証情報も確認されており、これらはなりすましに悪用されたり、アカウントの権限次第ではより大規模な侵害の入り口となる可能性があると指摘した。

彼は、データベースには所有者に関する情報が一切なく、ホスティングが最終的に停止されるまでにほぼ1か月かかり、何度も試みが必要だったと述べた。

ファウラーは、データを発見してから削除されるまでの間に記録の量が増加していたことを指摘し、その間に他者がこのデータをコピーしたリスクが高まったと述べた。

Security Magazineは、このキャッシュに約4,800万件のGmailアカウント、400万件のYahooログイン、150万件のMicrosoft Outlook用アカウント、さらにソーシャルメディアやストリーミングプラットフォームに関連する数百万件が含まれていたと報じました。Keeper Securityの最高情報セキュリティ責任者であるShane Barney氏は、「これは従来の意味での侵害ではありません」と指摘しています。( Securitymagazine

SC Mediaは、このデータベースがFowler氏が調査した過去のインフォスティーラーダンプとは異なり、逆引きホスト名や各レコードごとのユニークなラインハッシュなどの追加フィールドが含まれている点が際立っていると指摘しました。「このようなインフォスティーラーによる侵害は、単独のアカウントだけでなく、他の情報も漏洩します」とBlack DuckのシニアセキュリティエンジニアであるBoris Cipot氏はSC Mediaへのメールで述べています。( SC Media

不明な点として、流出した認証情報には古いものと現在有効なものの両方が含まれている可能性があり、多くはユーザーがパスワードを変更したり、プロバイダーがリセットを強制した場合、すでに無効になっているかもしれません。それでも、マルウェアが端末に残っていれば、パスワードを変更しても一時的な対策にしかならず、次回のログインも再び傍受される恐れがあります。

セキュリティ専門家は通常、2要素認証の有効化(コードやアプリのプロンプトなど追加のログイン手順)や、パスワードの使い回しを避けることを推奨しています。企業側では、多くが自動サインインの急増を監視し、不審な試行をブロックしていますが、こうした防御策はサービスごとに大きく異なります。

データベースの公開コピーを1つ削除できても、それは小さな勝利に過ぎません。認証情報のダンプは一度出回ると急速に拡散する傾向があります。組織にとって警告は変わりません:盗まれたパスワードは依然として大きな弱点であり、それを供給する流れが止まる気配はありません。

How to Know If Your Password Was Compromised
この動画を YouTube で視聴.

Mateusz Ługowik

Technology News

  • California startup proposes up to 50,000 in-space mirrors to reflect sunlight
    March 11, 2026, 4:22 PM EDT. California-based Reflect Orbital proposes a constellation of up to 50,000 in-space mirrors on satellites to reflect sunlight onto Earth. The company, which has applied to launch a 59-foot prototype named Earendil-1 later this year, says the system could illuminate dark areas and support disaster response, industry, agriculture, and defense. Light would cover about 3 miles at a time, at intensities of roughly 0.8 to 2.3 lux (a full Moon ranges from 0.05 to 0.3 lux). The project would charge about $5,000 per hour per mirror and could share revenue with solar farms. Astronomers fear the plan would disrupt observations and add space debris; DarkSky International calls for transparency and environmental review before approval, which now rests with the FCC, according to The New York Times.

Latest Articles

GrapheneOS Breaks Free from Pixel Exclusivity as Major Phone Maker Joins Forces

GrapheneOSがPixel専用を脱却、大手スマホメーカーと提携

10月 19, 2025
GrapheneOS will expand beyond Google Pixel phones for the first time, partnering with a major Android manufacturer to support non-Pixel devices. The new partner’s upcoming models will use Qualcomm Snapdragon flagship chips, marking a shift from Google’s Tensor chips. Official support will be offered for standard retail models. The partner’s name has not been disclosed.
Xiaomi 17 Pro Max vs Google Pixel 10 Pro XL – Battery Beast Meets AI Superphone in 2025 Flagship Showdown

Xiaomi 17 Pro Max vs Google Pixel 10 Pro XL – 2025年フラッグシップ対決:バッテリーモンスターとAIスーパーフォン

10月 4, 2025
Xiaomi 17 Pro Max launches with a 7,500mAh battery, Snapdragon 8 Elite Gen 5 chip, and a rear display, priced around $840. Google’s Pixel 10 Pro XL features a 5,200mAh battery, Tensor G5 chip, and advanced AI, starting at $1,199. Both offer triple rear cameras and IP68 water resistance. Xiaomi leads in battery capacity and charging speed; Pixel emphasizes AI and camera software.