約500万件のGmailアドレス、パスワードの組み合わせが流出したとの報道が出た。ID、パスワードが流出したときの利用者としての対応を、再度確認しよう。
米国時間の2014年9月10日、約500万件にもおよぶGmailなどのメールアドレス(ユーザー名)とパスワード情報の組み合わせが、ロシア語で運営されているオンラインフォーラムで公開されたことを複数のメディアが報じた。これに対し米グーグルは、公式ブログにおいて、流出は「グーグルのシステムに対する不正侵入によるものではない」と述べている。
複数の報道によると、オンラインフォーラム上で公開されたアカウント情報は約493万件。ほとんどが英語、ロシア語、スペイン語のもので、中には数年間使われていない古い情報も含まれているという。米グーグルはブログの中で、「公開されたユーザー名とパスワードの中で有効なもの(=実際にログイン可能なもの)は2%しかない」と述べ、フィッシングサイトやマルウェア感染など、複数のソースで盗み取られた情報が組み合わせられた可能性を示唆している。
ただ、2%に過ぎないとはいっても、数万件の有効なアカウント情報が公開されてしまった恐れは残る。グーグルでは当該アカウントについて、パスワードをリセットするよう通知した。また対策として、セキュリティに関する設定を確認し、二段階認証の導入やログイン履歴の確認を行うよう推奨。さらにより根本的な対策として、強固でユニークなパスワードを設定し、かつ複数のサービスで同一のパスワードを使い回さないことを勧めている。
近年、国内で不正ログイン事件が相次いで発生したことを背景に、複数のWebサービスで同一のパスワードを使い回すことの危険性が認識されるようになった。一方でユーザー名については、頻繁に変更されるわけではない「メールアドレス」がそのまま使われるケースが少なくない。Gmailのメールアドレスはその最たるものだろう。パスワードはもちろんだが、複数のサービスでユーザー名として同一のメールアドレスを用いる場合、異なるユーザー名を用いる場合に比べ、どれか1つのサービスで漏えいが発生した場合に侵害される可能性は高くなる。
なお、「利用しているアカウント情報が公開されたかどうかを確認できる」とうたうチェック用Webサイトも登場している。中には良心的なものもあるだろうが、今回の流出に便乗した新たなフィッシングサイトである可能性も否定できないため、利用には細心の注意が必要だ。
Copyright © ITmedia, Inc. All Rights Reserved.