2025 年 6 月、サイバーセキュリティ調査コミュニティが約 160 億件分のログイン情報を含む巨大なデータセットの存在を確認した。流出したデータには ID とパスワードだけでなく、クッキーやセッショントークンが含まれており、主要クラウドサービス、SNS、開発プラットフォーム、さらには一部の行政サービスまで幅広く影響を受ける可能性があるという。件数だけを見ても地球人口を大きく上回り、過去に問題となった大規模漏えいと比較しても桁違いの規模だ。
今回の情報は、端末に潜伏するインフォスティーラー型マルウェアが収集したログと、以前バラバラに流出していた古いデータが再構成されたものとみられる。およそ 30 のサブセットに分割され、一部は 35 億件超の塊となっていた、という報告もある。発生源や正確な時期を特定するのが難しいのは、複数の漏えいが混在しているためだ。
影響範囲は広く、クレデンシャルスタッフィングによるアカウント乗っ取りやフィッシングの高度化が懸念される。トークンやクッキーが含まれている場合、多要素認証を設定していてもセッションハイジャックを受けるリスクが残る。仮に 1 % だけが悪用されても、1 億 6,000 万件が被害にあう計算になる点は軽視できない。
すでに国内外では、保険会社や通信事業者などの大規模インシデントが続いており、「いつどこで起きても不思議ではない」という認識が定着しつつある。今回の件は、その流れを裏づける形になったといえる。
では、私たちは何をすべきか。個人の場合、サービスごとに異なる強力なパスワードを生成し、パスワードマネージャーで管理するのが基本となる。端末のマルウェアスキャンや OS・ブラウザの即時アップデートも欠かせない。多要素認証は「あれば安心」ではなく、トークンの有効期限やログイン履歴の確認といった運用面も意識したい。
組織では、ゼロトラストを前提にしたアクセス制御や、長期セッションの自動失効ポリシーが有効だ。社員教育を定期的に行い、クラウドストレージや SaaS への権限を棚卸しすることもリスク低減につながる。さらに、ダークウェブ監視や侵害の早期検知体制を整え、インシデント対応フローを明文化したうえで訓練しておくと、万一の際の被害を抑えやすい。
今回の 160 億件流出は、サイバー空間における「衛生管理」の重要性を改めて示した。完璧な防御は難しいものの、基本的な対策を確実に実行し、多層防御と迅速な検知・対応を組み合わせることで、被害を許容できるレベルへ抑え込むことは可能だ。漏えいを「起き得る前提」として備えを整える姿勢が、引き続き求められている。
