グーグルがGmailの巨大なセキュリティ侵害を示唆する誤報を公に否定してから、ほんの数日しか経っていないのに、またしても恐ろしく大きな数字が現れ、誤報の連鎖を招きかねない状況になっている。メールアドレスは20億件、ユニークなパスワードは13億件、そのうち6億2500万件のパスワードはこれまで漏洩が報告されていないものだ。私たちは本当に注意を払っているのだろうか。
Have I Been Pwnedのトロイ・ハントが、今回も新たな警告の発信源である。彼は「データ侵害に関する大げさなニュース見出しは嫌いです」と述べたうえで、「しかし『メールアドレス20億件』という見出しが誇張だと言うためには、事実が誇張または過大評価である必要があります。今回はそうではありません」と語った。
Gmailの侵害ではない
ハントはGmailに関する誤報の当事者ではないが、同じ過ちの再発を止めたいと考えている。「これはGmailの侵害ではありません」と彼は強調する。「当たり前のことを重ねて言うのは心苦しいですが、数週間前にスティーラーログ(情報窃取マルウェアの取得ログ)から、ばかげた、完全に虚偽のニュースが生み出された経緯があるため、はっきりと言わなければなりません」。
Gmailは最大のメールプラットフォームであり、新たに登場したデータでも最も多く含まれている。「ユニークなメールアドレスが3億9400万件」です。つまり、ハントによれば、「このデータセットの80%はGmailとまったく関係がなく、Gmailアドレスが占めている20%も、グーグル側のいかなるセキュリティ脆弱性とも無関係です」ということになる。
グーグルが推奨する防御策は「二要素認証(2FA)の有効化とパスキーの利用」
グーグルの助言は明確であり、Gmailの利用有無にかかわらず誰にでも当てはまる。「二要素認証(2FA)を有効にし、パスワードのより強力で安全な代替としてパスキーを採用してください。そして、今回のように大規模なパスワード漏洩が見つかった場合はリセットしてください」ということだ。
