ニュース

約500万件のGmailアカウントとするリストが公開、Googleはシステム侵害を否定

他サイトからの情報の組み合わせと判断、「有効な組み合わせは2%未満」

 Gmailのメールアドレスとパスワードの組み合わせだとする約493万件のリストが、ロシア語のフォーラムに9日に投稿された。Googleは10日、ユーザー名とパスワードの有効な組み合わせは2%未満で、Googleのシステムが侵害されたものではないとする見解を公式ブログで公表した。

 これは、ロシア語のBitCoinに関するフォーラムに、「60%のパスワードが有効」だと主張する、メールアドレスとパスワードの組み合わせ約493万件のリストが投稿されたもの。メールアドレスの大半はGmailのものだったが、YandexやMail.ru、Yahoo!、Hotmailなどその他のサービスのアドレスも含まれていたという。

 Googleでは10日、公式ブログで、こうしたユーザー名とパスワードの組み合わせのリストが公開される現象については、ユーザー保護のため常に監視を行っており、今週もGoogleやその他のインターネットプロバイダーの資格情報が含まれていると主張する複数のリストを確認したと説明。確認の結果、ユーザー名とパスワードの組み合わせのうち、有効だったものは2%未満であり、Googleのアカウント乗っ取りを防止する自動化されたシステムにより、多くのログイン試行はブロックされていただろうとしている。

 また、今回のケースやその他のケースにおいて、漏えいしたユーザー名とパスワードはGoogleのシステムが侵害されたものではなく、多くの場合、それらの情報は他の情報源から得られたものだと説明。複数のサイトでのパスワードの使い回しや、ログイン情報を盗もうとするマルウェア、フィッシングサイトなどが原因として考えられるとしている。

 Googleではユーザーに対して、アカウント設定を確認し、他のサイトとは共用していない強固なパスワードを利用することや、2段階認証を利用すること、最近のログイン場所とデバイスを一覧できる「最近のアクティビティ」を参照することなどを推奨している。

(三柳 英樹)