最近、インターネット上で「Gmailユーザー25億人に緊急警告」という衝撃的なニュースが駆け巡り、「本当に情報が流出したのか心配です」といった不安の声が広がりました。
このデマは、Gmailの全ユーザーが一斉にパスワードを変更する必要があるかのような印象を与えるものでした。しかし、その必要はまったくありませんでした。
しかし一方、一人一人のGoogleアカウント(Gmailアカウント)が、日々、パスワード流出やアカウント侵害の危険にさらされている、ということもまた事実です。
「危険なのか、安全なのか、どっちでしょうか?」というご質問も来そうな感じですが、セキュリティは「危険か安全かのどちらか」ではありません。現に発生している危険の内容と大きさを正確に把握し、適切な対策を行うことが、正しい対処法だと考えています。
この騒動について、その真相と、これを機に見直すべき本当に必要な安全対策について詳しく解説します。
Googleが公式に完全否定:「25億人への警告」はデマ
まず最も重要なことからお伝えします。この騒動の中心にある「25億人のGmail情報が流出した」という警告について、Googleは2025年9月1日に公式ブログで声明を発表。公式に「全くの誤りです」と強く否定しました。
Googleの声明を受けて、大手セキュリティ企業トレンドマイクロも、9月3日付で自身のブログ記事を正式に更新・訂正し、Googleの声明を認める内容に修正しています。
Google Data Breach Exposes 2.5 Billion Gmail Users to New Scam Risks | Trend Micro Blog
(タイトルは初出の2025/8/26の時と変更されていません。記事内に訂正が明記されました。)
Gmailの運営元であるGoogleと、情報の引用元となってしまった権威あるセキュリティ企業の双方から、この情報流出の警告が事実ではないと明確に否定されたことになります。
少し前から、「25億人のGmailパスワードが流出」はさすがにデマすぎる、という指摘がいくつかあがっており、筆者もデマだと確認しておりました。
改めて公式の否定が出ましたので、改めて、記事にしておきたいと思います。
「Gmail25億人パスワード流出」デマはどのように広まったのか?
「自分が読んだ記事はもっともらしく見えた」と感じた方もいらっしゃるかもしれません。
今回のデマは、主に以下のようなパターンで拡散されました。
タイプA 史上最大級の漏洩だ!説
「Googleのデータベースがハッキングされ、25億人分の情報が流出!」と、規模の大きさで恐怖を煽るパターンです。
タイプB Googleが公式に警告した!説
「Googleが全ユーザーに緊急警告を発した」と、公式発表であるかのように見せかけるパターンです。
タイプC 今すぐパスワードを変えろ!説
「情報が漏れたから、今すぐパスワードを変更すべき」と、具体的な行動を促すパターンです。
これらのデマは、実際には「Google社内での限定的な事件」という事実と、「Gmailの全ユーザー数である25億」という数字が、悪意を持って、または勘違いによって結びつけられたことで発生しました。
「Googleが25億人に警告」といった見出しを使用したのは、確認できた範囲ではアメリカのタブロイド紙「The U.S. Sun」や、英国のタブロイド紙「Daily Mail」がはじまりではないかと考えられます。
そして多くのニュースサイトが元の情報を確認しないまま引用を繰り返したため、あっという間に「事実」のように見えてしまったのです。
そして、膨大な数のブログサイト・YouTube動画が、「Google25億人警告説」を流しました。皆さんもそのうちいくつかを目にされたと思います。「こんなにみんなが騒いでいるんだから、きっと事実だろう」と思わせる効果も、おそらく働いただろうと思います。しかし、全てデマです。
【ご安心ください】あなたのGmailパスワードは流出していません
このデマによって、「すぐにパスワードを変更しなければ」と焦りを感じた方も多いかと思います。しかし、この騒動が原因であなたのGmailのパスワードが流出したという事実は一切ありません。
Googleは、今回の事件で盗まれたのはあくまでビジネス上の連絡先情報であり、一般ユーザーのパスワード、金融情報、メール内容といった機密情報は一切含まれていないと明言しています。
そのため、この騒動を理由に全ユーザーが一斉にパスワードを変更する必要は全くありませんでした。
デマの元になった「2つの事件」の真相
デマのきっかけとなった「Google社内での限定的な事件」とは、次のような2つの事件でした。
1. Googleの一部門が利用する別サービス(Salesforce)が侵入を受けた
攻撃者が侵入したのは、Gmailのシステムそのものではありません。Googleの営業チームが、広告主とのやり取りを記録するために使っていた、「Salesforce」という外部の顧客管理サービスが標的となりました。手口も高度なハッキングではなく、ITサポート担当者になりすましてGoogleの従業員に電話をかけるという、古典的な「なりすまし詐欺」でした。ここで盗まれたのは、ビジネス上の連絡先情報だけです。
2. 別の企業での「認証鍵の漏洩」事件
これとは別に、多くの企業が利用する「Salesloft Drift」という別のサービスが攻撃され、そこから多数のサービスの「認証鍵」(OAuthトークン)が漏洩する事件が発生しました。この認証鍵が悪用され、ごく一部のGoogle Workspaceアカウントのメールが不正にアクセスされるという被害も発生しました。
いずれの事件でも「25億人のパスワード流出」は起きていない
いずれの事件も、その事件に関係する企業・アカウントにおいて、情報流出は発生しました。また、それをもとに、詐欺メールや電話がかかるという事態も発生しました。
しかし、どこを見ても、Gmail全ユーザー25億人のパスワード流出、という事実は確認できませんでした。
本当に注意すべきこと:巧妙化する詐欺への対策
今回のデマそのものは、心配無用、という結論になりますが、しかし、「これで安心」と考えるのは少し早いかもしれません。
25億人のパスワードが一気に流出する事件は起きていませんが、さまざまな経路であなたの個人情報がすでに漏洩している可能性は高いという現実です。
日本でも毎年、様々な通販サイトやサービスで情報漏洩事件が発生しており、あなたのメールアドレスや氏名が悪意のある者の手に渡っている可能性を考慮しておくべきです。この状況は、あなたに2つの深刻なリスクをもたらします。
1. あなたを名指しで狙う詐欺メール(フィッシング詐欺)
詐欺師は、漏洩した情報を使って、あなたを名指しにした巧妙な偽のメールを送ってきます。それに騙されてパスワードを入力してしまえば、あなたのアカウントは乗っ取られてしまいます。
2. 「パスワードの使い回し」が命取りに
もしあなたが、過去に情報漏洩したサービスと同じパスワードをGmailでも使いまわしていた場合は、実際にかなり危ない、ということになります。
攻撃者は、そのパスワードを使ってあことになります。にも侵入しようと試みます。
当店でも実際に、使いまわしが原因でInstagramやGoogleアカウントに侵入されたご相談が寄せられたことがあり、対処はかなり大変でした。
パスワードの使いまわしは本当に危険です。スマホやパソコンの「パスワードマネージャー」を上手に使って、パスワードの使いまわしをしないで済むように工夫してください。
パソコン・スマホそれぞれのパスワードマネージャーについて、詳しい解説記事を出しておりますので、そちらもあわせてご覧ください。
パスワードマネージャーの使い方・パソコン版 (Windowsのみ、Chrome, Edgeについて紹介しています)
パスワードマネージャーの使い方・スマホ版(Android iPhone両方紹介しています)
Googleが推奨する最新の安全対策
では、日々巧妙になるネットの脅威に対し、私たちはどのように身を守れば良いのでしょうか。Googleが普段から推奨している、本当に効果的な安全対策をご紹介します。
① 2段階認証を設定する
これは、アカウント乗っ取りに対する最も効果的な防御策の一つです。たとえパスワードが盗まれても、あなたのスマートフォンに届く確認コードなどがなければログインできなくなります。特に、SMSでコードを受け取る方法よりも、認証アプリ(Google Authenticatorなど)の利用がより安全です。
② 最強の鍵「パスキー」へ移行する
これが、Googleが現在最も推奨している次世代の認証方法です。パスキーは、指紋や顔認証を使う「偽造不可能なデジタル印鑑」のようなもの。パスワードのように覚える必要がなく、偽のサイトで盗まれる心配もありません。偽メール詐欺に対する究極の解決策とも言えます。
パスキーについて詳しくは、当ブログの人気記事をご覧ください。
「便利な連携機能」に潜む新たなリスクと対策
「25億人のパスワード流出」はデマでしたが、そのデマのもとになった不正侵入事件の中から、もうひとつ、学ぶべき教訓があります。
「Googleでログイン」や「カレンダーと連携」など、便利な連携機能は手間を省き、安全性を高めてくれます。しかし、この便利な仕組みの裏には「連鎖リスク」という新たな危険も潜んでいます。
これは、信頼するサービス(Googleなど)に「合鍵」を預け、他のアプリにそれを見せる仕組みに似ています。問題は、合鍵を渡した連携先のアプリのセキュリティが甘かった場合です。
今回の騒動の背景でも、あるサービスの「認証鍵」が盗まれたことで、連携していた700以上もの企業データが危険にさらされるというドミノ倒しのような事例がありました。
「アクセス許可」「連携アプリ」の定期点検を
Googleアカウント(Gmail)だけでなく、X (旧twitter)や、Facebookなどの設定画面には「連携アプリ」「アクセス許可」などの項目があります。
これが、「合鍵を預けて連携しているサービス」を管理し、「合鍵を無効化して安全を守る」ことができる設定画面です。
Googleアカウントの場合
サードパーティ製のアプリとサービス
(タップするとあなたのGoogleアカウントでのその設定画面が開きます)
X (旧Twitter)の場合
連携しているアプリ
(タップするとあなたのXアカウントでのその設定画面が開きます)
Facebookの場合
アプリとフェブサイト
(タップするとあなたのFacebookアカウントでのその設定画面が開きます)
Instagramの場合
アプリとウェブサイト
(タップするとあなたのInstagramアカウントでのその設定画面が開きます)
多くの方が、あまり確認することなく「Facebookと連携」とか「Googleと連携」というボタンを押して、アクセス許可を与えている現状があります。これは、あまりよくないことです。
もう使っていないアプリや、見覚えのないアプリ・ウェブサイト・サービスがあれば、連携を解除することをおすすめします。
まとめ:デマに惑わされず、賢く安全対策を行いましょう
今回の「Gmail 25億人情報流出」騒動はデマでした。しかし、この一件は、私たちに2つの重要な教訓を残してくれました。
- 情報の真偽を見極める冷静さ
衝撃的なニュースに接した際は、一度立ち止まり、公式な情報源を確認する習慣が重要です。パニックはいつの時代も最大の敵です。 - デジタル世界の新たな脅威への備え
巧妙な詐欺メールや、便利な「連携」機能に潜む連鎖リスクなど、ネット上には常に新しい脅威が存在します。これらに対処するためには、2段階認証やパスキーといった最新の防御策を正しく理解し、実践することが不可欠です。
ぜひこの機会にご自身のセキュリティ設定を見直し、より安全で安心なデジタルライフを送ってください。
コメント