··

1億4900万件のパスワードがオンラインで流出:Gmail、Yahoo、Outlookのログイン情報が無防備なインフォスティーラーデータベースで発見

1月 24, 2026
by
149 Million Passwords Exposed Online: Gmail, Yahoo and Outlook Logins Found in Unsecured Infostealer Database

ロンドン、2026年1月24日、12:01(GMT)

  • 研究者ジェレマイア・ファウラーは、1億4,940万4,754件のユニークなログイン情報とパスワードが無防備なオンラインデータベースで発見され、その後オフラインになったことを明らかにした。
  • このキャッシュには、約4,800万件のGmail認証情報のほか、ソーシャルメディア、ストリーミングサービス、暗号通貨アカウント、そして一部の政府ドメインに関連するログイン情報が含まれていた。
  • アナリストは、低コストの「インフォスティーラー」マルウェアサービスがこの種のデータを使ってアカウント乗っ取りを自動化できると警告した。

約1億4,900万件の盗まれたユーザー名とパスワードを含むオープンなオンラインデータベース(うち約4,800万件はGmailアカウントに紐づく)が、研究者がホストに警告した後に削除されたと、サイバーセキュリティ専門家のジェレマイア・ファウラーが報告した。ファウラーは、この96ギガバイトのダンプが「パスワード保護も暗号化もされていなかった」と指摘した。( )

この発見は重要で、こうしたコレクションはクレデンシャル・スタッフィング(盗まれたパスワードをさまざまな人気サイトで自動的に試す攻撃)に直接利用され、特にデータに直接ログインできるURLが含まれている場合、より精密なフィッシング攻撃の燃料にもなる。

これは、インフォスティーラー・マルウェア(感染したデバイスから認証情報をこっそり盗む悪意のあるソフトウェア)が、単発的な攻撃から犯罪の恒常的な供給源へと変化している時期に起きている。

ファウラーはWIREDのインタビューで、このキャッシュを「犯罪者にとっての夢のウィッシュリスト」と表現した。Recorded Futureの脅威インテリジェンスアナリスト、アラン・リスカは、インフォスティーラーは「非常に参入障壁が低い」と指摘し、最上級のインフラをレンタルする場合、通常月額200~300ドル程度だと述べた。( )

TechRepublicは、流出したログには単なるパスワードリスト以上のものが含まれていたことを明らかにした。メールアドレス、ユーザー名、そしてそれらの認証情報が試せるサイトへの直接リンクも含まれていた。この仕組みにより、攻撃者はユーザーがパスワードを更新したり、プラットフォームが侵害されたアカウントを無効化する前に、アカウント乗っ取りを迅速に自動化しやすくなる。( )

ファウラーは、彼が調査した記録には、ソーシャルメディアやストリーミングプラットフォームから出会い系アプリ、銀行や暗号通貨取引のログインなどの金融アカウントまで、幅広いものが含まれていたと指摘した(いずれも限定的なサンプル内で)。

また、政府の「.gov」ドメインに紐づく認証情報も確認されており、これらはなりすましに悪用されたり、アカウントの権限次第ではより大規模な侵害の入り口となる可能性があると指摘した。

彼は、データベースには所有者に関する情報が一切なく、ホスティングが最終的に停止されるまでにほぼ1か月かかり、何度も試みが必要だったと述べた。

ファウラーは、データを発見してから削除されるまでの間に記録の量が増加していたことを指摘し、その間に他者がこのデータをコピーしたリスクが高まったと述べた。

Security Magazineは、このキャッシュに約4,800万件のGmailアカウント、400万件のYahooログイン、150万件のMicrosoft Outlook用アカウント、さらにソーシャルメディアやストリーミングプラットフォームに関連する数百万件が含まれていたと報じました。Keeper Securityの最高情報セキュリティ責任者であるShane Barney氏は、「これは従来の意味での侵害ではありません」と指摘しています。( )

SC Mediaは、このデータベースがFowler氏が調査した過去のインフォスティーラーダンプとは異なり、逆引きホスト名や各レコードごとのユニークなラインハッシュなどの追加フィールドが含まれている点が際立っていると指摘しました。「このようなインフォスティーラーによる侵害は、単独のアカウントだけでなく、他の情報も漏洩します」とBlack DuckのシニアセキュリティエンジニアであるBoris Cipot氏はSC Mediaへのメールで述べています。( )

不明な点として、流出した認証情報には古いものと現在有効なものの両方が含まれている可能性があり、多くはユーザーがパスワードを変更したり、プロバイダーがリセットを強制した場合、すでに無効になっているかもしれません。それでも、マルウェアが端末に残っていれば、パスワードを変更しても一時的な対策にしかならず、次回のログインも再び傍受される恐れがあります。

セキュリティ専門家は通常、2要素認証の有効化(コードやアプリのプロンプトなど追加のログイン手順)や、パスワードの使い回しを避けることを推奨しています。企業側では、多くが自動サインインの急増を監視し、不審な試行をブロックしていますが、こうした防御策はサービスごとに大きく異なります。

データベースの公開コピーを1つ削除できても、それは小さな勝利に過ぎません。認証情報のダンプは一度出回ると急速に拡散する傾向があります。組織にとって警告は変わりません:盗まれたパスワードは依然として大きな弱点であり、それを供給する流れが止まる気配はありません。

How to Know If Your Password Was Compromised
.

Mateusz Ługowik

Stock Market Today

  • Hanley Iceland Supermarket Closes for £20 Million Etruscan Square Redevelopment
    April 25, 2026, 8:10 PM EDT. The Iceland supermarket in Hanley will close on Saturday to make way for the £20 million Etruscan Square redevelopment by Stoke-on-Trent City Council. The project aims to revitalize Hanley with new city centre homes and improved living and shopping spaces. Iceland will vacate its Charles Street store and offer affected staff alternative roles at other locations. Local residents expressed disappointment over the closure, citing concerns about diminishing shopping options in Hanley. The redevelopment is part of a broader plan to enhance the city centre by 2050.