GMailとパスワードの組み合わせ500万件の流出騒動にみるネット上での真相確認の重要性

※当ブログではアフィリエイト広告を利用しています。

昨日からGMailのアドレスとパスワードが500万件流出したなどとネット上で騒ぎになっています。しかし実際にはGoogleから流出したのではなく、他のサービスで使っている情報などの組み合わせであったため、パスワードを使いまわしていない限り不正ログインの被害に遭う可能性は低いようです。

この騒動からネット上での真相確認の重要性を再認識したので、その理由と真相確認の方法について考えたことをメモします。

GMailのアドレスとパスワードが500万件流出?

事の発端となったのはロシアのBitcoinフォーラム「Bitcoin Security」です。9月9日にフォーラムに以下のような内容でGMailのユーザー名とパスワードの組み合わせ約500万件とされる情報が添付ファイルで投稿されました。

Bitcoin forum Gmail Leaked

当初はテキスト形式でメールアドレスと平文のパスワードの組み合わせが羅列されていたようですが、現在はメールアドレスのみのテキストになっています。リンクは貼りませんが、このロシアのサイトは海外のソーシャルブックマークサイト「Reddit」からたどることが可能です。

Googleの公式見解

この件についてGoogleは9月10日、Google Online Security Blogで以下のような公式見解を出しています。

  • 投稿されたメールアドレスとパスワードのうち、有効なものは2%以下だった
  • 自動化されたアンチハイジャックシステムが不正ログインのうち多くをブロックした
  • 影響を受けたとされるアカウントにはパスワードリセット呼びかけの通知をした

また500万件のメールアドレスとパスワードの組み合わせはGoogleから流出したのではなく、以下のように他の情報源からの組み合わせによって得られたものと述べられています。

  • 他サービスでユーザー名とパスワードの使い回し
  • マルウェアやフィッシングによるアカウント詐取

つまり「GMailのパスワード流出」ではなく、「GMailなどのメールアドレスとオンラインパスワードの組み合わせの流出」です。

さらに対策としてはGMailだけにユニークで複雑なパスワードを設定することや、二段階認証プロセスを使うこと、アカウントアクティビティで最近自分のアカウントにログインした人を確認する方法が挙げられています。

真相と異なるタイトル、不安を煽るタイトルをつけるニュースサイト

今回の件はGoogleの公式見解が出る前にも多くのニュースサイトで報じられています。しかし中には真相を十分に確認していないと思われるタイトルや不安を煽るタイトルのものもありました。以下はその一部です。

5 Million Gmail Passwords Leaked, Check Yours Now

グーグル アカウント大量流出か NHKニュース

※Lifehackerについては現在は「5 Million Online Passwords Leaked, Check Yours Now」にタイトルが変わっています。

さらに多くのサイトで「Is leaked?」という、自分のメールアドレスを入力することで流出の有無をチェックするサイトが紹介されていました。(リンク切れのためリンク削除)

isleaked

同サイトではメールアドレスの一部を隠して検索することができ、メールアドレスの収集やログの取得はしないと記載されていますが、それが本当なのかはサイト運営者にしかわかりません。

騒動の時に真相を確認するにはどうすればよいか

今回のような騒動のときに真相確認する方法について、効果がありそうなものを考えてみました。

はてなブックマークで他の人の考えを知る

人は不安になったとき衝動的に普段取らないような行動を取ってしまいがちです。オレオレ詐欺や振り込め詐欺の対策にも似たことが言えると思いますが、このようなときはまず別の人に相談したり意見を聞くことが重要です。

はてなブックマークではサイトをブックマークした際にコメントする機能(ブコメ)があり、ニュースサイトで報じられたことに対してユーザーがコメントしていることが多いです。はてなブックマークのユーザーはITリテラシーが高い人が多く、今回の件についても以下のように冷静なコメントが見受けられました。

  • リークの真偽が不明なので迂闊にチェックツールを使わない方がいいかも。チェックツールと称するメールアドレス収集ツールかもしれないし。
  • 天下のGoogleから平文のパスとメアドのセットなんか漏れるわけなかろ。変なログインは蹴ってくれるし、ほっとけばいいでしょう。//漏洩チェックサイトのドメインが漏洩発覚の2日前に取得されてるとツッコまれたらしい
  • いや、googleはさすがにハッシュ化してるだろ…どっか他のところから漏れたんだろ。

衝動的な行動に出る前に、まずはブコメで他の人の意見を確認してみるのがおすすめです。

複数サイトで情報の真偽を確認する

いくつかのニュースサイトや個人ブログでは今回の騒動について、流出元がGoogleではないことを説明しているものや、外部の不審なサイトで流出の有無を確認することの危険性が指摘されているものがありました。

Google から アドレスとパスワードの情報が漏れたのかと思いきや
『500万件の Gmail や Yahoo などのアドレスとパスワードをロシアのハッカーがまとめたものを公開』しただけだったというオチっぽいですね

なんでこんなタイトルにするのか訳が分からない・ω・

えーっと、この確認サイトはどうなのかしら?メールアドレスだけの確認で、パスワードを入れるわけじゃないけど、う~~ん。

ということで、確認はやめておきました。

これらも前述のはてなブックマークでの確認と同じく、他の人の意見を知るという意味で効果がありそうです。

公式見解の発表を待つ

今回の件はGoogleの見解を見れば、パスワードを使いまわしていない限りそれほど慌てる必要がないことを確認できます。また外部サイトで流出の有無を確認するのではなく、以下のような対策方法がGoogleから案内されています。

  • GMailだけにユニークで複雑なパスワードを設定すること
  • 二段階認証プロセスを使うこと
  • アカウントアクティビティで最近自分のアカウントにログインした人を確認すること

騒ぎに乗じてアカウント情報を詐取しようとするフィッシングサイトが出てくる可能性も大いにあるため、公式に推奨されている方法で対応することは重要だと考えられます。

おわりに

真相を確認するのは面倒だったり時間がかかったりすることもありますが、多くの人が見るニュースサイト等では特に真相確認を重要視してもらいたいところです。

とはいえ人の振り見て我が振り直せということもあるので、情報発信の際は個人サイトでも真偽の確認には気をつけたいと思いました。