Googleアカウント情報が大量に流出、と思いきや利用可能な情報は全体の2％未満であった模様

By Carlos Luna

ロシアのBitcoinフォーラム経由で約500万件ものGoogleアカウントのユーザー名とパスワードが流出したといわれていましたが、Googleの調査によると約500万件の流出アカウント情報のうち実際に利用可能なものは2％未満であったようで、乗っ取り被害に遭う危険性のあったアカウントには既にパスワードリセット措置を施したことを明かしています。

Google Online Security Blog: Cleaning up after password dumps
http://googleonlinesecurity.blogspot.jp/2014/09/cleaning-up-after-password-dumps.html

Googleや他サービスのユーザーアカウント情報が、ロシアのBitcoinフォーラムから流出しました。流出したGmailアカウントの数は約500万件と言われていたわけですが、そのうち利用可能なものは2％(約10万件)未満であったそうです。さらに、アカウント情報が流出したと思われる約10万件の大半が、Googleの自動反アカウント乗っ取りシステムによりアカウントの乗っ取りを防ぐことができたとのこと。実際にアカウント乗っ取り被害に遭う危険のあったアカウントはごくごく一部のもので、それらに対してはパスワードリセット措置をとった、と発表しています。

また、Googleはアカウントが流出したのは「Googleのシステム経由ではない」としており、他の情報源から莫大な量のアカウント情報が集められ、流出したのではと推測しています。例えば、複数サービスで同じユーザー名とパスワードを使用しているならば、ひとつアカウント情報が流出してしまえば他サービスのアカウント情報も芋づる式にばれてしまいます。また、マルウェアやフィッシング詐欺などを使ってログイン情報を盗む、という方法もあります。

Googleは自社システムでマルウェアやフィッシング詐欺、スパムなどからユーザーを守るためのセキュリティシステムがしっかりと働いていることを主張していますが、複数のサービスで同じユーザー名やパスワードを使用しているユーザーは、パスワードを別のGoogleアカウント特有のものに変更することを勧めており、他にも2段階認証などの使用も推奨しています。

なお、The Next Webによると今回流出したものの大半は英語・スペイン語・ロシア語のGoogleアカウントであったそうです。