米国 Google のさまざまなサービスをユーザーが利用するための ID、パスワードの組み合わせ、およそ10万件弱がインターネット上に出回っていたようだ。同社が公式ブログの回りくどい表現で認めた。

Google、およそ10万件弱の「有効な」ID・パスワードがネットに出回っていたと認める
フォーラムへの投稿

ID・パスワードが大量にネット上に出回る事件は後を絶たない。先日はロシアのサイバー犯罪者が約12億件の ID・パスワードを盗み取り、闇市場で売り払ったと、米国のセキュリティ企業が報告した。そろそろ我々の感覚も麻痺してきたかもしれない。

今回は、仮想通貨(暗号通貨)「BitCoin」に関するロシア語圏の Web サイト「BitCoin Security」のフォーラムに、とあるユーザーが9月9日ごろ、Google のアカウントと称する約500万件の ID・パスワードの組み合わせを投稿し、そのうち60%が有効だとうたった。

Google は米国時間9月10日に公式ブログ「Online Security Blog」で調査結果を発表し、実際に有効なのは2%未満だったと述べた。またそれらの情報を使った不正ログインの試みの多くは、同社の乗っ取り対策システムにより防止できたはずだとしている。すでにパスワードのリセットなどの措置もとったという。ユーザーに対しては「2段階認証」などのセキュリティ機能を使って自衛するよう呼びかけも行っている。

なお、Google は自社からの流出、漏洩(ろうえい)を否定しており、ユーザーあるいは第三者のサービスからサイバー犯罪者の手に渡った恐れを示唆している。

少し遅れて、日本のニュースサイトやブログも騒動の顛末を報じている。「2%未満」という Google の報告を強調する向きもある。しかし件のフォーラムを通じてネットに出回った ID・パスワードのうち、有効なものが本当に10万件弱もあったとすると、決して小規模とは言えない。

もしこの数字に対して多くの人の危機感があまり働かなくなっているようなら、あらためて熟慮を要する事態だ。背後には、流出、漏洩はもはやつまらないほどありふれた現象、という無意識の判断があるかもしれない。