Gmailのセキュリティ警告をめぐる論争:実際に何が起きたのか?
ほとんどすべての大手テック系(テック系以外も含む)のニュース媒体が、数十億人のGmailユーザーに対してパスワードの変更を促すセキュリティ警告が送られた—あるいは送られなかった—という話題を最近報じました。結論から言うと、実際に侵害は発生し、Googleもそれを認めましたが、同社は、攻撃者が入手したのはGmailの認証情報ではなく、一部の業務用の連絡先情報や氏名に限られると主張しています。とはいえ、Gmailのパスワードを変更しなくてよいという意味ではありません。2要素認証(2FA)の有無にかかわらず、安全のために定期的に変更するのが最善です。
詳しい経緯が知りたいですか?この先をお読みください。
Gmailのパスワード警告報道の発端となった実際の侵害
2025年初め、ShinyHuntersとして知られるハッカー集団がGoogleのSalesforceデータベースの一つに侵入し、非公開の(少なくとも私たちは数字を確認できていません)人数分のユーザー情報を盗み出しました。先述のとおり、その情報は業務用の連絡先情報と氏名でした。
Googleは侵害を認め、Salesforceの拡張機能を通じて発生したと説明しました。2025年8月初旬までに、同社は影響を受けた人々への通知を完了しました。
しかし、報道機関が状況を誤解したようです。今回の出来事を、GoogleがGmailユーザー—総計25億人超—にパスワード変更を促す大規模アラートを出したという主張と結び付けた報道がありました。
その報道は拡散し、同社は対応を迫られました。2025年9月1日、GoogleはWorkspaceブログに“Gmailの保護は強力で効果的であり、重大なGmailセキュリティ警告があったという主張は誤りです”という投稿を公開しました。この記事の中で、同社はそのような警告を送信した事実はないと反論し、当該の主張を不正確だとしています。さらにGoogleは、自社の“保護機能により、フィッシングやマルウェアの試みの99.9%以上がユーザーに届く前にブロックされ続けている”と強調しています。
フィッシングやビッシング(音声フィッシング)から身を守るには?
これらの攻撃手法については“ハッキングにおけるソーシャルエンジニアリング:一般的な手口と対策”で扱いました。見逃している場合はぜひお読みください。有益な情報が載っています。その一部をおさらいすると、以下がこの種の悪質な試みに対する常識的な自衛策です。
信頼しても必ず検証を。できれば、最初から鵜呑みにしないでください。メールが少しでも不審なら—招かれざる広告や、知り合いからの思いがけない提案も十分に疑わしい—文中のリンクはクリックしないでください。
可能な限り二要素認証を有効にし、SMSではなく認証アプリを使いましょう。いずれにせよ、パスキーへの移行も検討してください。遅かれ早かれそうなります。
パスワードマネージャーを使い、ファイアウォールを適切に設定し、VPNの契約を検討し、バックアップ運用を整えましょう—総じて、“誰にでもできるサイバーセキュリティ:ベストプラクティスとツール”で述べた助言に従ってください。
ご安全に!
