セキュリティソフト「ESET」の日本における販売店であるキヤノンITソリューションズ(キヤノンITS)は9月19日、「Gmailの認証情報500万件がオンラインで公開される」と題した記事を発表し、注意喚起を呼びかけた。
9月9日以降にRedditなどのフォーラムに投稿された記事により、ユーザー名としてGmailアドレスを使用しているアカウントの認証情報約500万件が、オンラインで不正に公開されていることがわかった。
たとえば、finegardenz.comというサイトのニュースレターをユーザー名「gthumb99@gmail.com」、パスワード「thumbsup 」で購読している場合に、その認証情報が公開されている可能性がある。この場合は、finegardenz.comで過去に発生したハッキングが原因として考えられる。
今回、漏洩したメールアドレスとパスワードが投稿されたのは「Bitcoin Security」というロシア語のサイト。
これまでの調査結果によると、ほとんどは5年前のパスワードでアカウントにはアクセスできないという。ただし、一部に有効なパスワードも存在し、不正ログインの試行も報告されている。今回公開された認証情報は、近年多発しているフィッシング詐欺やマルウェアによる攻撃で収集されたものと考えられる。
Gmailアカウントの認証情報自体は非常に有用であり、この情報だけでGoogle+やGoogleマップなど多様なGoogleサービスを利用できる。しかし、ひとたびこの情報が漏洩すれば、それら2つのサービスにアクセスできるだけでも自宅住所や友人関係の情報が流出する可能性がある。
ここで重要なポイントは、Webサイトやオンラインサービスのユーザー名としてGmailアドレスを使用する場合は、Gmailのパスワードを流用しないことで、必ず、サイトやサービスごとに異なるパスワードを使用するよう注意喚起を呼びかけている。