160億アカウント流出！Googleが警告するパスワードの危機！あなたは大丈夫？

人間の9割はバカだから
盗まれたことに気づいていない。
これで家にドロボーが来ても仕方ない。

これを機に、
Appleに乗り換えました。
もうWindows11など使いません。

ご指摘のニュースは、2025年6月頃に
Googleが全世界の約20億人のユーザーに対し、
従来のパスワード認証から「パスキー（Passkey）」
への移行を強く推奨する警告を発したという内容です。

この背景には、過去最大規模とされる
約160億件のログイン情報流出や、新たなサイバー攻撃手法である
「インフォスティーラー」の脅威が関係しています。

以下で、このニュースの詳細とその背景、
インフォスティーラーの仕組み、そして
パスキーへの移行が推奨される理由をわかりやすく解説します。

1.ニュースの概要

Googleは、GmailやYouTubeなど
同社サービスを利用する約20億人のユーザーに対し、
「パスワードはもはや安全ではない」と警告し、
パスワード認証から「パスキー」への移行を推奨しています。

この警告は、2025年6月に発表された、
Apple、Google、Facebook、GitHubなどを含む
主要プラットフォームから約160億件のログイン情報
（パスワードや認証情報）が流出したという報告を受けたものです。

この流出は、従来のフィッシング詐欺やパスワードリスト攻撃だけでなく、
「インフォスティーラー」と呼ばれる
高度なマルウェアによるものが大きな要因とされています。

人口の半分はやられてるだろ
ぁわわわ…

世間のインフォスティーラーの被害状況を見て、
使用機器やアプリを基本Apple製品と
純正ツールで固めていて本当に助かったなと…
他OSと比べて融通が効かない面はあれど、
強力なセキュリティに救われてる

Googleのプライバシー・安全・セキュリティ担当
バイスプレジデントであるエヴァン・コツォヴィノス氏は、
2025年6月の公式ブログで、

「パスワードは50年以上前の技術であり、
現代のサイバー攻撃に対抗するには脆弱すぎる」と述べ、
パスキーへの移行を強く推奨しました。

このニュースは、Forbes JAPANやYouTubeチャンネル
「パソコン博士TAIKI」などを通じて広く報じられ、
サイバーセキュリティの緊急性を訴える内容となっています。

2.流出の特徴

対象プラットフォーム

Google（Gmail、YouTubeなど）、
Apple、Facebook、Instagram、GitHub、政府機関など多岐にわたる。

流出内容

ユーザー名、パスワード、認証情報、
個人情報（メールアドレス、電話番号など）。

影響範囲

米国消費者の61％が過去1年間で
メール関連のサイバー攻撃の標的になったと報告されており、
日本を含む世界中で同様のリスクが高まっています。

この流出は、単なるパスワードの漏洩にとどまらず、
Googleアカウントに紐づけられた写真、
連絡先、カレンダー、Google Payの支払い情報など、
個人情報の広範な漏洩リスクを伴います。

さらに、「Googleでログイン」機能を利用している
他のサービスも連鎖的に危険にさらされる可能性があります。

3.インフォスティーラーとは？

インフォスティーラー（Information Stealer）は、
ユーザーの個人情報や認証情報を
盗むことを目的としたマルウェアの一種で、

従来のフィッシング詐欺や
パスワードリスト攻撃とは異なる高度な攻撃手法です。
このマルウェアは、以下のような方法で情報を窃取します。

インフォスティーラーの特徴

ブラウザに保存されたパスワードの窃取

ウェブブラウザ（Chrome、Safari、Edgeなど）
に保存されているパスワードやクッキー、自動入力データを直接抽出します。

ユーザーが「パスワードを記憶する」機能を
有効にしている場合、これらの情報が標的になります。

2段階認証の突破

一部の高度なインフォスティーラーは、
2段階認証（2FA）のコードやセッション情報
を盗む能力を持ち、従来のセキュリティ対策を回避します。

キーロガーやスクリーンショット機能

ユーザーのキーボード入力や画面操作を記録し、
パスワードや個人情報をリアルタイムで収集します。

ローカルファイルやアプリからの情報収集

デバイス内のファイル、メールクライアント、
メッセージングアプリ（Telegramなど）から情報を盗み出します。

AIを活用した攻撃

最近のインフォスティーラーは、
AIを活用してより巧妙に動作し、検出を回避する技術が進化しています。

なぜ危険か？

インフォスティーラーは、
ユーザーが気づかないうちにデバイスに感染し、
バックグラウンドで情報を収集します。

従来のフィッシング詐欺ではユーザーが
偽のサイトにパスワードを入力する必要がありましたが、
インフォスティーラーはユーザーの操作を
待たずに直接情報を盗むため、防御が難しくなります。

また、アンチウイルスソフトでも検出されにくいケースが多く、
2025年の報告では
「どのアンチウイルスソフトも検出できなかった」
事例が指摘されています。

4.パスワードの限界とパスキーの必要性

Googleがパスワードからパスキーへの移行を推奨する理由は、
パスワード認証の以下の脆弱性にあります。

パスワードの脆弱性

*フィッシング詐欺のリスク*

どんなに複雑なパスワードでも、
精巧なフィッシングサイトに入力してしまうと盗まれます。

*使い回し問題*

多くのユーザーが複数サービスで同じパスワードを使用しており、
1つの漏洩が複数アカウントに影響を及ぼします。

*管理の煩雑さ*

強固なパスワードは覚えにくく、結果として
「パスワードを記憶する」機能に依存し、
インフォスティーラーの標的になりやすくなります。

*漏洩リスク*

サーバー側のデータベースがハッキングされると、
パスワードのハッシュ値が漏洩し、解読される可能性があります。

パスキーとは？

パスキーは、FIDO Allianceが開発した
「FIDO2」認証技術に基づくパスワードレスの認証方式です。
以下のような特徴があります。

1.公開鍵暗号方式

ユーザーのデバイスに「秘密鍵」、サービス側に「公開鍵」を保存。
ログイン時にデバイスが秘密鍵で認証を行い、秘密鍵は外部に送信されません。
これにより、フィッシングサイトに情報を入力するリスクがなくなり、
サーバー側がハッキングされても認証情報が漏洩しません。

2.生体認証やデバイスロック

指紋認証、顔認証、PINコードなど、
デバイス固有の認証方式を使用。
パスワードを入力する必要がありません。

3.フィッシング耐性

パスキーはデバイスに紐づけられており、
偽のサイトに「入力」されることがないため、フィッシング攻撃を根本的に防ぎます。

4.簡便性

ログインが指紋や顔認証で完了し、
パスワード入力より4倍速いとされています。

5.既存認証との互換性

パスキーを設定しても、従来のパスワードや
2段階認証は維持されるため、移行リスクが低いです。

パスキーのメリット

フィッシング攻撃への完全な耐性

パスキーは外部に送信されないため、
フィッシング詐欺で盗まれる心配がありません。

簡単なログイン

生体認証やPINで迅速にログイン可能。

同期機能

iCloudキーチェーンや
Googleパスワードマネージャーでデバイス間で同期可能。

2段階認証の簡略化

パスキー自体がデバイス認証を兼ねるため、
2FAの追加ステップを省略可能。

5.パスキーの設定方法

パスキーの設定は簡単で、以下の3ステップで完了します。
Googleアカウントを例に説明します。

必要条件

対応デバイス

Windows 10、macOS Ventura、ChromeOS 109以降、
iOS 16以降、Android 9以降、またはFIDO2対応のハードウェアセキュリティキー。

対応ブラウザ

Chrome 109以降、Safari 16以降、Edge 109以降、Firefox 122以降。

設定

画面ロック（PIN、指紋、顔認証など）、
Bluetooth（デバイス間認証の場合）、iCloudキーチェーン（iOS/macOSの場合）。

設定手順

1.Googleアカウントにログイン

ブラウザでGoogle.comにアクセスし、
右上のプロフィールアイコンから「Googleアカウントの管理」を選択。

2.セキュリティ設定にアクセス

管理画面の「セキュリティ」タブから
「Googleへのログイン方法」を選択し、「パスキー」項目を探す。

3.パスキー作成

「パスキーを追加」をクリックし、画面の指示に従う。
認証方法（指紋、顔認証、PINなど）を選択し、デバイスでロック解除。
パスキーに名前を付けて設定完了。

設定後は、指紋や顔認証でログイン可能になります。
従来のパスワードも引き続き使用可能です。

6.なぜ今すぐパスキーに移行すべきか？

以下の理由から、Googleや専門家は
早急なパスキーへの移行を推奨しています。

サイバー攻撃の急増

米国消費者の61％がメール攻撃の標的となり、
3分の1がデータ侵害を経験。
AIを活用した高度な攻撃が一般ユーザーをも標的にしています。

インフォスティーラーの脅威

ブラウザに保存されたパスワードや2FAを
突破する能力を持つマルウェアが猛威を振るっており、従来の対策では不十分です。

160億件の流出規模

流出した認証情報がダークウェブで取引されており、
個人情報漏洩のリスクが急増しています。

パスキーの実用性

安全性が高く、使いやすいパスキーは、
セキュリティと利便性を両立する次世代の認証方式です。

7. 追加のセキュリティ対策

パスキーへの移行に加え、以下の対策も推奨されます。

パスワードの変更と使い回し禁止
すべてのアカウントでユニークなパスワードを設定。

マルウェアスキャン
定期的にアンチウイルスソフトでデバイスをスキャン。

2段階認証の継続
パスキーと併用することで多層防御を強化。

怪しいメールやリンクを避ける
フィッシング詐欺を防ぐため、疑わしいメールは開かない。

Windows Defenderの活用
Windowsの高機能セキュリティ設定を有効化。

8. 注意点

パスキー設定後のパスワード

パスキーを設定しても従来のパスワードは使用可能。
状況に応じて使い分けられます。

デバイス紛失時

Googleアカウントの復旧オプション
（バックアップメールや電話番号）でアクセス回復可能。

パスキー非対応デバイス

従来のログイン方法（パスワードや2FA）が利用可能。

完全なパスワード廃止？

Googleはパスワードレスを目指していますが、当面は両方が共存します。

9.どうすれば自分が盗まれているか確認できる？

自分のアカウントが流出しているかどうかを確認し、
被害を防ぐために以下の方法を試してください。

パスワード漏洩チェックツール

Googleパスワードマネージャー

Googleアカウントの「セキュリティ」タブで
「パスワードマネージャー」を開き、「パスワードチェックアップ」を実行。
漏洩したパスワードが含まれていないか確認できます。

Have I Been Pwned

メールアドレスやユーザー名を入力して、
データ漏洩に含まれているか確認できる無料サービス
（https://haveibeenpwned.com/）。

不審なアクティビティの確認

Googleアカウントの「セキュリティ」タブで
「最近のアクティビティ」や「ログイン中のデバイス」をチェック。
知らないデバイスや場所からのログインがないか確認してください。
同様に、FacebookやAppleアカウントでもログイン履歴を確認できます。

2段階認証の通知

2段階認証を設定している場合、
知らないログイン試行があると通知が届きます。
通知がないか定期的に確認しましょう。

マルウェアスキャン

信頼できるアンチウイルスソフト
（例: Windows Defender、Malwarebytes）でデバイスをスキャンし、
インフォスティーラーの感染をチェック。

特に、怪しいメールやリンクを開いた後、
ブラウザの動作が遅い、知らない拡張機能が追加されているなどの兆候に注意。

今すぐできるアクション

1. Googleアカウントでパスキーを設定。
2.「Have I Been Pwned」でメールアドレスの漏洩をチェック。
3. 2段階認証を有効化し、ブラウザのパスワード保存をオフに。
4. 不審なログインがないかアカウント履歴を確認。

まとめ

Googleが20億人のユーザーに発した警告は、
160億件のログイン情報流出とインフォスティーラーの脅威を背景に、
パスワード認証の限界を浮き彫りにしています。

インフォスティーラーは、ブラウザに保存された
パスワードや2段階認証を突破する高度なマルウェアであり、
従来のセキュリティ対策では防ぎきれません。
パスキーは、公開鍵暗号方式と生体認証を活用し、
フィッシングや情報漏洩を根本的に防ぐ次世代の認証技術です。

今すぐGoogleアカウントでパスキーを設定し、
併せて2段階認証やマルウェア対策を強化することで、
サイバー攻撃のリスクを大幅に軽減できます。

セキュリティは「後で」では遅すぎます。
今日から行動を起こし、個人情報を守りましょう。

インフォスティーラーの感染源

インフォスティーラーは以下のような経路でPCに侵入。

フィッシングメール

偽の銀行/企業メールに添付されたファイル
（PDF、Word）やリンク（例: 偽ログインページ）をクリック。

悪意のあるウェブサイト

改ざんサイトや偽装サイト
（例: 偽のソフトウェアダウンロード）でドライブバイダウンロード。

不正広告（マルバタイジング）

正規サイトの広告に悪意のあるコード。

海賊版ソフト

クラックされたゲームやソフト（例: 偽のPhotoshop）に同梱。

YouTube/SNSリンク

動画コメントの「無料チート」「割引ソフト」リンク。

USBドライブ

感染したUSBの.LNKファイル（ショートカット偽装）。

クリップボードハイジャック

CAPTCHAやコピー＆ペーストで悪意のあるコードを実行（国内で半年で9倍増加）。

*事例*

クラックソフトをダウンロード→インフォスティーラー感染
→Googleアカウント認証情報が盗まれ、企業VPNに侵入→ランサムウェア展開。
インフォスティーラーとは終了