···

1億5000万件のパスワードが流出:GmailとFacebookのログイン情報が公開データベースで発見

1月 27, 2026
by
150 Million Passwords Exposed: Gmail and Facebook Logins Found in Open Database

ニューヨーク、2026年1月25日、08:27 EST

  • 研究者が約1億4900万件のユーザー名とパスワードのペアを含む無防備なデータベースを発見し、ウェブから削除されるきっかけとなった
  • このデータ群には、GmailやFacebookの数千万件のログイン情報のほか、銀行、ストリーミング、暗号資産アカウントも含まれていた
  • 研究者らは、このキャッシュが単一の大手プラットフォームの侵害ではなく、「インフォスティーラー」マルウェアに関連していることを突き止めた

約1億4900万件のユーザー名とパスワードを保持する無防備なデータベース(うちGmailに関連するものが4800万件、Facebookに関連するものが1700万件)は、セキュリティ研究者がホスティングプロバイダーに通報した後、オフラインにされたと報じられている。Recorded Futureの脅威インテリジェンスアナリスト、アラン・リスカは「インフォスティーラーは新たな犯罪者にとって非常に低い参入障壁を作り出している」と指摘し、月額数百ドルでレンタルできるツールがあることを挙げた。( WIRED

この流出は深刻であり、こうしたパスワードリストはハッカーがメールやソーシャルメディアアカウントを乗っ取るのを可能にする——これらは他のプラットフォームの認証情報をリセットするための入り口となる。また、詐欺師が銀行、同僚、サポートチームになりすまして追加情報を盗むフィッシング攻撃の燃料にもなる。

研究者らは、このキャッシュが「インフォスティーラー」マルウェアに由来することを突き止めた——これは感染したデバイスから認証情報を密かに取得するために設計された悪意あるソフトウェアで、多くの場合キーストロークを記録する。これは、単一企業のサーバーへの標的型侵害ではなく、デバイス上で直接広範かつ無秩序な窃盗が発生していることを示唆している。

ジェレマイア・ファウラーはExpressVPNのために、データベースにはパスワード保護も暗号化もなく、1億4940万4754件のユニークなログイン認証情報(未処理データで約96ギガバイト)が含まれていたと報告した。サンプルにはメールアドレス、ユーザー名、パスワード、ログインが発生した正確なURLが含まれており、自動化攻撃を加速させる要因となりうると指摘した。( ExpressVPN

流出したキャッシュは、Instagram、Netflix、TikTok、Yahoo、Outlook、iCloudなどの幅広い消費者向けサービスのほか、金融アカウントや暗号資産プラットフォームもカバーしていたとTechRepublicは報じている。ファウラーは、政府のメールドメインに関連する認証情報が「標的型スピアフィッシング、なりすまし、または政府ネットワークへの侵入経路」となりうると警告した。( TechRepublic

People.comはファウラーの報告を引用し、独自に調査結果を確認できなかったこと、また犯罪者がスピードと規模を優先するあまり巨大なデータキャッシュを無防備なまま放置することが頻繁にあると指摘した。ファウラーは、認証情報とログインリンクの組み合わせが「詐欺、潜在的な個人情報盗難、金融犯罪、フィッシングキャンペーンの可能性を劇的に高める」と警告した。( People

ほとんど何も、このデータベースを誰がまとめたのか、またどれくらいの期間公開されていたのかは分かっていないと、TechRadarは報じている。ホスティングプロバイダーが当初、独自に行動した子会社のせいだと非難した後、削除されるまでにほぼ1か月かかった。このメディアは、データが検索しやすいようにインデックス化されているように見えたことから、単なるミスで放置されたのではなく、再利用を目的に構築された可能性が高いと指摘している。( TechRadar) しかし、これらの見出しの数字は誤解を招く場合がある。Fowler氏は、サーバーの運営者を特定できなかったことを認めており、現在も有効な認証情報がどれだけあるのか、アクティブなアカウントからのものがどれだけあるのか、すでに流出していたものがどれだけあるのかは不明のままだ。 このデータセットだけでは、Google、Meta、または他の名指しされた企業が直接ハッキングされたことを証明するものではない。インフォスティーラーによるデータは通常、侵害されたデバイスから取得され、その後まとめられ、再販・再投稿され、過去の漏洩データと混ぜ合わされる。 Fowler氏は、ユーザーに対し、アカウントのアクティビティを確認し、セキュリティ設定を強化し、複数のサイトでパスワードを使い回さないようにすることを勧めていると、自身のレポートや関連報道で述べている。セキュリティ専門家は、パスワードが漏洩した場合のバックアップ手段として、コードや生体認証を使った二要素認証を頻繁に推奨している。 企業や公共機関にとっては、脅威は消費者詐欺にとどまらない。従業員のメールログインや「.edu」「.gov」などの認証情報は、攻撃者がより信憑性の高いフィッシング攻撃を仕掛けたり、パスワードの使い回しによって内部システムにアクセスしたりするのに役立つ可能性がある。 データベースを削除しても、影響が消えるわけではない。コピーはすぐに出回る可能性があり、盗まれたログイン情報の市場は絶えず動き続けている——複雑さよりも新しい認証情報と忍耐力に頼る詐欺の絶え間ない供給源となっている。

Artur Ślesik

Technology News

  • Emails show Bank of America struggles with Nvidia AI Factory adoption
    January 27, 2026, 8:08 AM EST. According to internal emails reviewed by Reuters, Bank of America is grappling with delays and friction in adopting Nvidia's AI Factory platform. Engineers point to compatibility issues with legacy core banking systems, data-security reviews, and governance hurdles as key bottlenecks. Procurement and tech teams flagged rising costs and gaps in vendor support as pilots progressed toward broader deployment. Executives sought faster progress while risk and compliance units slowed decisions to align with regulatory protections. The correspondence also reveals debates over data handling, model training parameters, and the division between experimentation and customer safeguards. Nvidia representatives are described as advocating tighter integration plans and schedule milestones.