グーグルは、Gmailのアカウント保護を強化するため、パスワードより安全なパスキーへの移行を推奨している。攻撃者は、フィッシング詐欺などにより資格情報を盗み、Cookie・認証トークンの窃取を強め、成功した侵入の3割超がパスワード起点で発生している。これを防ぐには、パスワードはサインインに使わずバックアップにとどめ、パスキーを有効化し利用すべきだ。また二要素認証は、認証アプリを利用する方法に切り替えよう。
「Gmail大規模侵害」報道は誤りだった
ここ数週間で2度目となるが、巨大な新たなパスワード流出があったとする報道(1、2)に対して、グーグルは反論した。「『数百万人のユーザーに影響するGmailのセキュリティ侵害』という報道は虚偽である。Gmailの防御は強力で、ユーザーは保護されている」。
Reports of a “Gmail security breach impacting millions of users” are false. Gmail’s defenses are strong, and users remain protected. 🧵👇
— News from Google (@NewsFromGoogle) October 27, 2025
報道が誤りだったが、対応方法は知っておくべきだろう。グーグルは、ユーザーは「このような大規模なバッチ(漏えい・窃取された認証情報の集合データ)でパスワードが見つかった場合にはリセットすべきだ」と述べる。実際には、侵害が判明するのを待つべきではない。定期的なパスワード変更はもはや最善策とは見なされていないが、強力で一意のパスワードを確保することは依然として重要である。
本当の脅威は、フィッシング詐欺などによる「認証情報の窃盗」
またパスワードは、常に漏えいや盗難のリスクを抱えていることも覚えておくべきだ。「攻撃者はフィッシングと認証情報の窃取を強化しており、これが成功した侵入の37%を占める」とグーグルは警告し、さらに「攻撃者が好む手口としてクッキーや認証トークンの窃取が指数関数的に増加しており、インフォスティーラー(情報窃取型マルウェア)は84%増えている」という。
