累計160億件のパスワード流出

160億件のパスワードが流出―アップル、フェイスブック、グーグル、GitHubも今すぐ対策を（Forbes JAPAN） - Yahoo!ニュース

先月私が報じた1億8400万件の認証情報流出を恐ろしいと思った読者は、ぜひ腰を据えて読んでほしい。研究者により、パスワードを含む160億件ものログイン認証情報が確認された。これは史上最大規模のデータ

グーグルが20億ユーザーに警告、『パスワード』ではなく『パスキー』方式に変更を！ #エキスパートトピ（神田敏晶） - エキスパート - Yahoo!ニュース

なぜ？グーグルが『Gmail』アカウントにヒモづけられた『パスワード』よりも『パスキー』の導入をユーザーや事業者に対して急かしているのか？それは、どんなに巧妙で複雑な『パスワード』でさえも、一度『漏洩

2025年6月に「160億件のパスワード流出」として広く報道されたサイバーセキュリティ事案について、網羅的かつ証拠に基づいた分析し、その技術的起源を明確にし、関与したエコシステムを特定し、現代のサイバー脅威という広い文脈の中に位置付けることにある。その分析範囲は、単なる時系列的な説明にとどまらず、データの収集と悪用の根底にあるメカニズムへの技術的な深掘りにまで及ぶ。

核心的論点は、この「160億件のパスワード流出」が、大手テクノロジー企業に対する単一の大規模なデータ侵害ではなく、過去および新規に侵害された認証情報を大規模に集約・編纂（コンピレーション）したものが発見された事案であるという点にある。その真の発生源は、インフォスティーラー（情報窃取型マルウェア）によって絶えず供給される、持続的かつ産業化されたサイバー犯罪パイプラインである。この区別は、脅威の性質を理解し、効果的な防御戦略を策定する上で極めて重要である。本件は、世界規模で進行する窃取されたユーザーデータのコモディティ化という、より大きな継続的問題の顕著な兆候として機能している。

セクション1：2025年6月の漏洩事案の解体
セクション2：侵害の源泉：インフォスティーラー・マルウェア・パイプライン
セクション3：メガダンプの歴史：2025年の漏洩事案の位置づけ
セクション4：データの武器化：クレデンシャルスタッフィング攻撃
セクション5：結論と戦略的提言
1. 5.1. 調査結果の統合：核心的な問いへの回答
2. 5.2. 技術的読者層への実用的提言

セクション1：2025年6月の漏洩事案の解体

160億件の認証情報の発見と報道について、事実に基づく所見とメディアによる扇情的な報道とを区別し、明確で時系列的な説明を詳述する。

1.1. 発見と報道の時系列

2025年初頭： サイバーセキュリティメディアCybernewsの研究チーム（Vilius Petkauskas氏、Bob Diachenko氏らが主導）が、ウェブ上で公開状態にあるデータセットの監視を開始する。
2025年6月18日～20日： Cybernewsが調査結果を公表。AP通信、フォーブス、CBSニュースなどの主要報道機関がこれを即座に増幅して報じた。報道内容は、累計160億件のログイン認証情報を含む約30の公開データセットが発見されたというものであった。
2025年6月21日～26日： 追跡報道と専門家による分析が出始める。Sophos社やRapid7社、SANS Instituteなどの専門家は、本件が単一の新規侵害であるとの見方に異議を唱え、新旧のデータが混在したコンピレーションであると指摘した。この時期は、本件に対する一般の理解が転換する重要な節目となった。

1.2. 漏洩データセットの構造

発生源と場所： データは特定のハッキングフォーラムではなく、セキュリティ設定が不十分なElasticsearchインスタンスやその他のオープンなクラウドストレージなど、一般に公開されていたインフラ上で発見された。この事実は、データが発見時に特定の市場で活発に取引されていたというよりは、転送や販売のために一時的に保管（ステージング）されていた可能性を示唆している。
データ構造と内容： データセットは、サイバー攻撃に即時利用できるよう整理・構造化されていた。ほとんどのレコードには、URL、ユーザー名／ログインID、そして平文のパスワードが含まれていた。特にURLが含まれていることで、このデータは標的型クレデンシャルスタッフィング攻撃に「武器化」されやすい状態にあった。
影響を受けたサービス： 侵害された認証情報は、Apple、Google、Facebookといった主要プラットフォーム、GitHubのような開発者プラットフォーム、Telegramなどのメッセージングアプリ、さらには様々な政府関連ポータルサイトまで、広範なオンラインサービスに及んでいた。

1.3. 「160億件」という数字の文脈

累計であり、ユニークではない： 160億という数字は、2025年初頭から発見された全30データセットに含まれるレコードの総数であり、160億のユニークな新規侵害アカウントを意味するものではない点を理解することが極めて重要である。
重複の可能性の高さ： サイバーセキュリティ専門家は、これらのコンピレーションにはデータセット内およびデータセット間で相当数の重複が含まれているという点で広く見解が一致している。同一の認証情報ペアが複数回出現する可能性は高い。したがって、実際に影響を受けたユニークな個人やアカウントの数は特定不可能であるが、160億よりはるかに少ないことは確実である。
新旧データの混在： これらのデータセットは、過去の著名な侵害事件に由来する古い認証情報と、より最近収集された「新鮮な」認証情報が混在する「巨大な雪だるま」のようなものである。この「新鮮さ」こそが、コンピレーションを特に危険なものにしている。なぜなら、最近収集されたパスワードは、いまだに有効である可能性が高いからである。

1.4. メディアの扇情主義と専門家の再評価

初期報道： 初期のメディア報道は、本件を「史上最大のデータ侵害」と位置づけ、主要テクノロジー企業に対する単一の最近のハッキングであるかのような印象を与えた。「すべてのデータ侵害の母（mother of all data breaches）」といった表現を用い、160億という驚異的な数字に焦点を当てることで、社会的な不安を煽った。
専門家による反論： サイバーセキュリティコミュニティは、すぐにより慎重な見解を提示した。研究者たちは、これがGoogleやAppleのシステムに対する新たな侵害ではなく、それらのシステムのユーザーから別の手段で盗まれたデータのコンピレーションであると強調した。Googleは、問題が自社からの侵害に起因するものではないと認めている。この区別は決定的である。プラットフォーム自体がハッキングされたのではなく、そのユーザーが標的となったのである。
「スニフテスト」： 一部の専門家は、データの再利用された性質や、独立した分析のための検証可能な生ファイルが存在しないことを指摘し、本件が単一の新しい事象であるとする報告は「スニフテスト（直感的な妥当性検証）をパスしない」と述べた。

表1.1：2025年6月の認証情報漏洩の発見と報道に関する時系列

日付	出来事／発見事項	情報源／関係者	意義
2025年初頭	Cybernewsがウェブ上の公開データセットの監視を開始	Cybernews研究チーム	大規模なデータコンピレーション発見の端緒
2025年6月18-20日	Cybernewsが30のデータセット、累計160億件のレコード発見を公表	Cybernews	事件が公になり、世界的なメディア報道の引き金となる
2025年6月20日	AP通信、Forbesなどが一斉に報道し、世界的な注目を集める	主要報道機関	「史上最大」という言説が広まり、社会的な関心が高まる
2025年6月24日	CyberScoopが専門家の分析を掲載し、「単一の侵害」説に疑問を呈する	CyberScoop、セキュリティ専門家	報道の扇情性に対する専門家コミュニティからの最初の体系的な反論
2025年6月26日	Marketplace.orgがデータの集約された性質に関する専門家の解説をさらに提供	Marketplace.org、Sophos	事件が単一の侵害ではなく、コンピレーションであることを明確化し、一般の理解を深める

この一連の出来事は、サイバー犯罪におけるデータのライフサイクルを明確に示している。すなわち、収穫（マルウェア経由）、集約（大規模なコンピレーションへ）、一時的な公開（転送や販売のための非セキュアなサーバー上）、そして最終的な発見というサイクルである。これは静的なイベントではなく、継続的なプロセスである。また、初期のヘッドラインと専門家の分析との間の乖離は、サイバー犯罪とサイバーセキュリティ報道の両方における強力な経済的インセンティブ、すなわち「恐怖は売れる」という現実を浮き彫りにしている。攻撃者はデータの価値を吊り上げるために数字を誇張し、メディアは注目を集めるために扇情的な見出しを使用する。この力学は、ユーザーの間に不必要なパニックや、逆に「侵害疲れ」による無関心を生むリスクをはらんでいる。

セクション2：侵害の源泉：インフォスティーラー・マルウェア・パイプライン

本セクションでは、2025年のコンピレーションに含まれる「新鮮な」認証情報が収集された主要なメカニズムについて、技術的な基盤を詳細に解説する。

2.1. 技術的深掘り：インフォスティーラーの動作原理

定義と機能： インフォスティーラーは、感染したデバイスから機密情報を静的かつ体系的に窃取するために特化して設計されたマルウェアの一種である。ランサムウェアとは異なり、その目的は破壊ではなく、秘密裏のデータ収集にある。
感染経路： ユーザーは、フィッシングメール、悪意のあるダウンロード（例：クラックされたソフトウェア）、またはドライブバイダウンロードを引き起こすマルバタイジングキャンペーンといった、一般的なソーシャルエンジニアリングの手法を通じて感染する。
データ収集能力： デバイスに侵入したインフォスティーラーは、広範な価値あるデータを標的とする。主な標的は以下の通りである。
- ブラウザに保存された認証情報： ウェブブラウザに保存されているユーザー名とパスワード。
- セッションクッキーとトークン： これらはアクティブなユーザーセッションを乗っ取るために使用され、多要素認証（MFA）を回避する可能性がある。
- システム情報： OSの詳細、IPアドレス、デバイスのフィンガープリントなど、攻撃者が被害者のプロファイルを構築するのに役立つ情報。
- 金融データ： 自動入力されるクレジットカード情報。
- 暗号資産ウォレット： 暗号資産ウォレットに関連するファイルは高価値の標的である。
著名なマルウェア系統： RedLine、Raccoon、Lummaといった、アンダーグラウンド市場で流通する膨大な量の窃取データの主要な供給源として知られるインフォスティーラー系統に言及する。

2.2. 感染から市場へ：窃取された認証情報のライフサイクル

データ送出（Exfiltration）： 収集後、データは「ログ」ファイル（多くは.zipまたは.txt形式）にパッケージ化され、攻撃者が管理するコマンド＆コントロール（C2）サーバーに送信される。
ダークウェブでの収益化： これらのログは、専門のダークウェブマーケットプレイス（例：現在は閉鎖されたRussian Market）や、Telegramなどのプラットフォーム上のプライベートチャネルで販売される。ログはしばしば1件あたり10ドルという低価格で販売され、サイバー犯罪経済におけるハイボリューム・ローマージンの商品となっている。
集約と編纂： データブローカーや他の脅威アクターは、これらのログを大量に購入する。その後、データを解析、重複排除し、巨大なデータベースへと編纂する。これがまさにCybernewsによって発見されたコンピレーションそのものである。このプロセスにより、何千もの個別のインフォスティーラー感染から得られたデータが、単一の検索可能で「武器化可能」な情報資産へと集約される。

2.3. 関係者：サイバー犯罪エコシステムのプロファイリング

MaaS（Malware-as-a-Service）事業者： インフォスティーラーマルウェアの開発者であり、自身で攻撃を行うことは少ない。代わりに、月額料金や利益の分配を条件に、自らのツールを他者に貸し出すことで、技術レベルの低い犯罪者の参入障壁を下げている。
アフィリエイト／ディストリビューター： マルウェアを購入またはリースし、感染キャンペーン（例：フィッシングメールの送信）を実行する。彼らはデータ収集作戦の「現場部隊」である。
初期アクセスブローカー（IABs）： 企業アカウントの認証情報を見つけることを目的にインフォスティーラーのログを購入する、専門的なサイバー犯罪者。彼らは、検証済みの企業ネットワークへの「初期アクセス権」を、ランサムウェア集団などの他のグループに高値で販売する。

この一連のプロセスは、個別のハッキング行為ではなく、高度に効率化され、産業化されたサプライチェーンである。役割は専門化され（開発者、配布者、ブローカー）、プロセスは自動化され、製品（窃取されたログ）はコモディティ化している。この産業規模の収集活動の産物が、160億件という記録的なコンピレーションなのである。

セクション3：メガダンプの歴史：2025年の漏洩事案の位置づけ

本セクションでは、2025年の事案が特異なものではなく、大規模な認証情報コンピレーションの系譜における最新のものであり、明確かつエスカレートする傾向を示していることを立証する。

3.1. ケーススタディ1：「Compilation of Many Breaches」（COMB）、2021年

事案の概要： 2021年2月、「Singularity0x01」と名乗るユーザーが、著名なハッキングフォーラム「RaidForums」に巨大なデータベースを投稿した。
データの内容： 「Compilation of Many Breaches (COMB) 3.8Billion (Public)」と題されたこのデータセットには、32億件のユニークなメールアドレスとパスワードのペアが含まれていた。2025年の漏洩と同様、これも新たな侵害ではなく、Netflix、LinkedIn、Bitcoinなどにおける過去の侵害から得られた認証情報のコンピレーションであった。
プラットフォーム：RaidForums： RaidForumsは、2015年から2022年4月に法執行機関によって閉鎖されるまで、ハッキングされたデータの売買における主要なオンラインマーケットプレイスとして機能していた。このプラットフォームは、フォーラム、ユーザーランク、仲介サービスといったインフラを提供し、このようなデータセットの取引を促進した。創設者であるDiogo Santos Coelho（ハンドルネーム「Omnipotent」）は英国で逮捕された。
構造とアクセス性： COMBデータはアルファベット順のツリー構造で整理され、検索を容易にするためのスクリプト（query.sh, sorter.sh）が含まれていた。これは、他の犯罪者による積極的な利用を意図して設計されていたことを示している。

3.2. ケーススタディ2：「RockYou」の遺産

起源：RockYou 2009： この名称は、2009年に発生したソーシャルアプリケーション「RockYou」のデータ侵害に由来する。この事件では3200万件のパスワードが平文で漏洩し、その現実世界のデータとしての性質から、パスワードクラッキングにおける基礎的な辞書リストとなった。
進化：RockYou2021： 2021年6月、「RockYou2021」と名付けられた100GBのファイルが流出し、84億件という驚異的な数のパスワードエントリが含まれていた。しかし、Troy Hunt氏などの専門家による分析の結果、これは84億件の新規侵害パスワードのリストではなく、過去の漏洩（COMBを含む）や生成されたパスワード風の文字列からなる
パスワード辞書またはワードリストであることが明らかになった。その主目的は、関連するユーザー名を含まないため、直接的なクレデンシャルスタッフィングではなく、パスワードクラッキングや推測攻撃での使用である。
続編：RockYou2024： 2024年7月、「ObamaCare」と名乗るユーザーがハッキングフォーラム「BreachForums」に「Rockyou2024」を投稿し、100億件近いパスワードが含まれていると主張した。分析の結果、これはRockYou2021の更新版であり、約15億件の新規エントリが追加されていた。しかし、前作同様、その大半は質の低い「ガラクタデータ」であり、解析が不十分な文字列やハッシュ値が含まれていた。これは、真に強力な攻撃ツールというよりは、フォーラム内での「名声と信用」を得るために作成された低品質なコンピレーションであると結論付けられた。

3.3. 比較分析：集約のパターン

これらのケーススタディから、脅威アクターが異なる侵害事件やインフォスティーラーのログから継続的にデータを収集し、それらを次第に大きなコンピレーションに集約し、アンダーグラウンドのフォーラムで公開または販売するという、明確で反復的なパターンが浮かび上がる。2025年の漏洩は、COMBの認証情報ペア形式と、RockYouリストで宣伝された巨大な規模を組み合わせた、この進化の論理的な次段階と位置づけられる。

表3.1：主要な認証情報コンピレーションの比較

コンピレーション名	発見年	報告規模（レコード数）	データタイプ	主な情報源	主要な特徴
COMB	2021	32億件（ユニークペア）	ユーザー名/パスワード	過去の侵害事件	RaidForums上で公開された対話型データベース
RockYou2021	2021	84億件	パスワード辞書	過去の漏洩、生成文字列	パスワードクラッキング用
RockYou2024	2024	99億件	パスワード辞書	RockYou2021の更新版	低品質、名声目的
2025年漏洩事案	2025	160億件	ユーザー名/パスワード	インフォスティーラーログ、過去の侵害	「新鮮な」データを含む、公開インフラ上で発見

この比較から、データ漏洩とツールの間には共生関係が存在することがわかる。RockYou2021のような辞書リストは、侵害事件で発見されたハッシュ化パスワードをクラックするために使用され、それによって新たな平文の認証情報が生成される。そして、その認証情報がCOMBのようなコンピレーションに追加される。このフィードバックループにより、犯罪者が利用可能なデータは継続的に拡充されていく。

セクション4：データの武器化：クレデンシャルスタッフィング攻撃

本セクションでは、これらの巨大な認証情報コンピレーションの主目的、すなわち、ユーザーの不十分なパスワード管理を悪用する自動化攻撃の弾薬として機能する点を解説する。

4.1. 攻撃のメカニズム

定義： クレデンシャルスタッフィングは、脅威アクターが窃取されたユーザー名とパスワードのペアの巨大なリストを使用し、他の無関係なサービスへのログインを試みる自動化されたサイバー攻撃である。これはブルートフォース攻撃の一種であるが、パスワードを推測するのではなく、既知の認証情報に依存する点で異なる。
プロセス：
- 取得： 攻撃者は、2025年のコンピレーションのような認証情報リストを入手する。
- 自動化： Sentry MBAのような専門ツールやボットネットを利用し、標的ウェブサイトのリストに対してログイン試行を自動化する。
- 検知回避： 単純なレート制限やIPブラックリストを回避するため、これらの攻撃はプロキシネットワークを介して何千ものIPアドレスに分散される。
- 検証と悪用： ログインに成功したアカウント（「ヒット」）は有効性が検証され、詐欺、データ窃取、または他の犯罪者への販売に利用される。

4.2. 人的要因：パスワード再利用の決定的役割

中核的脆弱性： クレデンシャルスタッフィング攻撃が効果的である唯一の理由は、ユーザーのかなりの割合が複数のオンラインサービスで同じパスワードを再利用しているためである。ある調査では、ユーザーの81%がパスワードを再利用していると報告されている。
心理的要因： このパスワード再利用の背景には、多数の複雑なパスワードを記憶することの認知的負荷や利便性の追求といった心理的要因が存在する。
影響： セキュリティレベルの低いウェブサイトでの一度の侵害が、パスワードが再利用されていれば、ユーザーの価値の高いアカウント（メール、銀行、ソーシャルメディア）への「マスターキー」を攻撃者に与えることになり得る。

4.3. 組織への影響：企業ネットワークへの侵入口

初期アクセス経路： クレデンシャルスタッフィングは、初期アクセスブローカー（IABs）が企業ネットワークへの足がかりを得るための主要な手段である。従業員がセキュリティの低い個人向けサイトで企業用パスワードを再利用した場合、それが企業全体の侵害につながる可能性がある。
ログインからランサムウェアへ： 攻撃者が窃取された認証情報で初期アクセスを確保すると、ネットワーク内で横方向に移動し、権限を昇格させ、最終的にランサムウェアのようなより破壊的なペイロードを展開することが可能になる。侵害された認証情報が関与するインシデントは、修復に著しく多くの労力を要する。

攻撃と防御の非対称性は、この脅威の深刻さを物語っている。攻撃者のコストは極めて低い（自動化ツール、安価な認証情報リスト）のに対し、防御側のコスト（堅牢なMFA、ボット検知、ユーザートレーニングの導入）は高い。この攻撃手法の有効性は、数字や特殊文字を要求するようなパスワードの複雑性ポリシーだけでは不十分であることを証明している。複雑なパスワードであっても、一度漏洩し再利用されれば、単純なものと同様に脆弱である。

セクション5：結論と戦略的提言

調査結果を統合し、戦略的かつ長期的な解決策に焦点を当てた、技術的知識を持つ読者層向けの実用的な提言を行う。

5.1. 調査結果の統合：核心的な問いへの回答

漏洩とは何か？ 単一の侵害ではなく、多数の過去の侵害と進行中のインフォスティーラーキャンペーンから得られた、約160億件の認証情報レコードを集約した大規模コンピレーションの発見であった。
誰が責任者か？ 単一の行為者は存在しない。この「漏洩」は、マルウェア開発者、ディストリビューター、データブローカーから成る、分散化・産業化されたサイバー犯罪エコシステムの産物である。
どのように行われたか？ データは主にインフォスティーラーマルウェアを介して個々のユーザーデバイスから収集され、その後、自動化攻撃での販売と利用のために集約・編纂された。

5.2. 技術的読者層への実用的提言

個人向け（サイバーハイジーン）：
- パスワードの独自性： 信頼できるパスワードマネージャーを活用し、すべてのオンラインアカウントでユニークなパスワードを使用することの絶対的な重要性。
- 多要素認証（MFA）： すべての重要なアカウントでMFAを有効にし、防御の第二層として機能させること。
- フィッシングへの警戒： 侵害情報に含まれていることは、自身が巧妙なスピアフィッシング攻撃の標的になりやすいことを意味すると認識すること。
組織向け（戦略的防御）：
- 侵害を前提とした運用： 従業員の認証情報は侵害されている、あるいは今後侵害されるという前提で運用する。防御だけでなく、検知と対応に重点を移す。
- エンドポイント検知・対応（EDR）： 侵害の主要な発生源であるユーザーデバイス上でインフォスティーラーマルウェアを検知・ブロックするため、高度なEDRソリューションを導入する。
- 能動的なダークウェブ監視： ダークウェブのマーケットプレイスやフォーラムをスキャンし、侵害された企業認証情報を発見するサービスを導入する。これにより、即時のパスワードローテーションやアカウントロックアウトが可能となる。
- パスワードレスへの移行加速： 認証情報ベースの攻撃に対する究極的な解決策は、認証情報そのものを排除することである。組織は、フィッシングと認証情報窃取の両方に耐性を持つFIDO2/WebAuthn（パスキー）のようなパスワードレス認証方式の導入を積極的に推進すべきである。これが戦略的な長期的提言である。