2025年6月、サイバーセキュリティ界に衝撃が走った。「160億件」という、地球上の全人口の実に2倍に相当する数のログイン認証情報が流出したというニュースが世界を駆け巡ったのだ。当初、「史上最大のデータ侵害」として報じられたこの一件は、多くの人々に不安を与えた。しかし、専門家たちがその巨大なデータセットの深淵を覗き込むにつれ、事態はそう単純ではないことが明らかになってきた。

これは本当に新たな大規模侵害なのか、それとも巧みに演出された“数字の幻影”なのか。本記事では、複数の専門機関の分析を基に、この騒動の真相を解き明かし、その陰に隠された本当に警戒すべき脅威、「インフォスティーラー」の正体に迫る。

衝撃の「160億件」報道、その発端

事の発端は、サイバーセキュリティメディア「Cybernews」が2025年6月18日に公開した調査報告だった。同社の研究チームは、年初からの監視活動を通じて、一時的に公開状態にあった30もの巨大なデータセットを発見。その合計レコード数は、実に160億件に達するという。

報告によれば、これらのデータにはApple、Google、Facebookといった巨大プラットフォームから、企業システム、政府機関に至るまで、あらゆるサービスのログイン情報（URL、ユーザー名、パスワード）が含まれていた。その収集手法として有力視されたのが、「インフォスティーラー」と呼ばれる情報窃取マルウェアだ。

インフォスティーラーとは何か
PCやスマートフォンに侵入し、ブラウザに保存されたパスワード、Cookie、暗号資産ウォレット、各種ファイルといった機密情報を根こそぎ盗み出すマルウェアの一種。フィッシングメールや不正なソフトウェアのダウンロードを通じて感染し、盗んだ情報は「ログ」としてまとめられ、攻撃者のサーバーへ送信される。

このニュースは瞬く間に拡散し、「史上最大級のデータ侵害」として多くのメディアが報じた。しかし、その喧騒の裏で、セキュリティ専門家たちは冷静な視線を向けていた。

専門家が鳴らす警鐘：「新たな侵害ではない」

報道から間もなく、BleepingComputerやセキュリティ企業Hudson Rockといった情報源から、今回の事案に対する懐疑的な見解が相次いで示された。彼らの分析の核心は、「これは新たな侵害ではなく、過去のデータの再利用である」という点に集約される。

根拠1：過去データの「再パッケージ化」

BleepingComputerは、今回のデータセットが、過去に発生した様々なデータ侵害や、インフォスティーラーによって収集されたログ、クレデンシャルスタッフィング攻撃で得られた情報を寄せ集め、再編集した「コンボリスト」に過ぎないと指摘した。

サイバー犯罪の世界では、このように古いデータを組み合わせ、新たなリストとして売買・共有することは常套手段だ。つまり、特定の企業が新たにハッキングされたわけではなく、既に闇市場で流通していた情報が、巨大な一つの塊として発見されたに過ぎないという見方である。

根拠2：数字が語る非現実性

Hudson Rock社は、より定量的な分析でこの説を補強した。同社の調査によれば、インフォスティーラーに感染したPC1台から盗まれる認証情報は平均で約50件。仮に160億件の認証情報がすべてインフォスティーラー由来だとすれば、実に3億2000万台ものデバイスが感染している計算になる。これは、世界的なマルウェア感染の動向から見て、あまりに非現実的な数字だ。

この分析は、発見されたデータセットが、重複データや、価値を水増しするために意図的に生成・改変された偽の情報を大量に含んでいる可能性を示唆している。

誇張の裏に潜む「本物の脅威」

では、今回の騒動は単なる空騒ぎだったのだろうか。必ずしもそうとは言い切れないだろう。注目すべきは、この160億件という数字の真偽よりも、その背景にあるインフォスティーラーというサイバー犯罪エコシステムの深刻さそのものだ。

誇張された数字に惑わされてはならないが、インフォスティーラーによる被害が現実のものであることは疑いようがない。事実、2024年には数億件の認証情報がインフォスティーラーによって盗まれ、ランサムウェア攻撃や大規模な情報漏洩の引き金となっている。

• 暗号資産取引所Nobitexでは、従業員2名がインフォスティーラーに感染した結果、8170万ドル相当の損失が発生した。
• 小売大手Hot Topicでは、従業員の端末が感染したことでクラウドシステムへのアクセスを許し、3億5000万人分の顧客データが危険に晒された。

これらの事例が示すのは、たった一台のPCの感染が、企業全体を揺るがす致命的なインシデントに発展しうるという厳しい現実だ。今回の160億件という数字は、氷山の一角、あるいはその影が巨大に見えたものに過ぎず、水面下には広大で危険な氷塊が広がっているのである。

我々は何をすべきか

この一連の出来事から、我々が学ぶべき教訓は何か。

第一に、パニックに陥らず、冷静に事実を見極めること。 センセーショナルな見出しに踊らされることなく、複数の信頼できる情報源を確認し、事態の本質を理解する情報リテラシーが、これまで以上に求められている。

第二に、基本的なサイバー衛生の徹底。 今回の騒動が新たな侵害ではなかったとしても、あなたの情報が過去のどこかで漏洩している可能性は否定できない。

• パスワードの使い回しを絶対にやめる。
• パスワードマネージャーを導入し、複雑でユニークなパスワードを生成・管理する。
• 多要素認証（MFA）を可能な限り全てのサービスで有効化する。
  これらはもはや「推奨」ではなく、「必須」の対策である。

最後に、今回の騒動は、インフォスティーラーという脅威がいかに日常に溶け込み、見えにくくなっているかを改めて浮き彫りにした。これは、単一のハッカー集団による派手な攻撃ではなく、無数の個人の小さな油断を起点とする、静かで広範な侵食だ。その本質を理解し、日々のデジタルライフにおける警戒を怠らないこと。それこそが、誇張された数字の向こう側にある、本物の脅威に立ち向かう唯一の道ではないだろうか。

---

Sources

• Cybernews: 16 billion passwords exposed in record-breaking data breach, opening access to Facebook, Google, Apple, and any other service imaginable
• BleepingComputer: No, the 16 billion credentials leak is not a new data breach
• Hudson Rock: 16 Billion Credentials Leak: A Closer Look at the Hype and Reality Behind the “Massive” Data Dump