元記事をよく読んで落ち着いたら多要素認証の設定を始めましょう

160億件のパスワードが流出！ 未曽有のWebサービス乗っ取りが始まる……とは限らない

大規模なパスワード流出が確認されたという記事が話題です。私たちができることは？

未曽有の情報流出が確認された!?

　最近、あちこちで「160億件のパスワードが流出した！」という話を聞きます。各種媒体でも記事になっているようで、「ITサービスのアカウントが不正アクセスの攻撃にさらされる」といった注意喚起が出回っています。

　ログインIDとパスワードの組み合わせが流出している以上、それらを使えば今すぐにでもパスワードリスト攻撃が可能です。多要素認証を設定していないアカウントが運悪く乗っ取られてしまう恐れもあります。

　現在、地球人口は80億人と言われていますから、計算上は全人類のパスワード情報が2つずつ流出してしまったレベルの超ド級漏えいです。連日テレビで取り上げられてもおかしくありませんが、そこまでの大騒ぎにはなっていません。

　その理由は元の記事を確認すればわかります。160億件のパスワード流出云々の元をたどると、海外ニュースサイト・cybernewsがおそらく6月18日に発表した「16 billion passwords exposed in record-breaking data breache」に行き着きます。この記事は媒体の研究チームが独自調査した結果をまとめた内容で、さまざまなサービスログイン情報がダークウェブ上に大量流出していると報じています。

　しかし読み進めていくと、「あれ、思ってたのと違う……」と感じる人も多いでしょう。

　なぜなら、「どこかの悪意ある組織が160億件すべて異なるログイン情報を一手に握っている」のではなく、「研究チームが調査したデータベース群から多数のログイン情報を発見、それらを合計すると160億に上る」という話だからです。つまり、160億という数字は「延べ」の可能性が少なくないわけですね。

　そして、それぞれの流出データがいつ流出したのかも明らかにはなっていません（確認は困難でしょう）。政府機関が使い始めたばかりのGmailのログイン情報があるかもしれない一方、閉鎖して久しいWebサービスのログイン情報が大量に混じっているかもしれません。加えて、160億件のログイン情報を使った攻撃が始まる兆候をつかんだわけでもありません。

　「まもなく未曽有の全世界アカウント乗っ取り事変が起きるから覚悟せよ！」みたいな話ではないので安心してください。

慌てず黙々と多要素認証を設定しましょう

　とは言え、流出データのなかには「Apple、Facebook、Google、GitHub、Telegram、そして政府のプラットフォーム」のログイン情報も確認されているとのことですから、油断はできません。ただし、そうしたデータが前述したような大手サービスから直接大量漏えいしたわけではないようなので念のため。

　確かに、今回積み重ねられた数字は未曽有のものですが、正しく怖がることが重要です。以下の2つを実行するだけでも、あなたのアカウントが乗っ取られる可能性はかなり減るはずです。

・パスワードの使い回しをしない
・面倒でも多要素認証を設定する（できればSMS認証以外）

　奇しくも今月、グーグルは詐欺が大きく広まっているという調査結果を示しながら、Googleアカウントにパスキーの使用を勧める記事を公開しています。