あなたは今、大きな危険にさらされているかもしれません。サイバーセキュリティ研究グループの新たな分析によると、過去12ヶ月間で「190億件」ものパスワードが漏洩し、そのわずか6%しか一意のものではないという衝撃的な事実が明らかになりました。これはつまり、大半のユーザーが複数のサービスで同じパスワードを使い回していることを意味します。さらに、日本国内では2025年3月に「約25万件」ものフィッシング詐欺の報告があり、その多くが配送業者を装ったSMSによるものです。本記事では、この前代未聞のサイバーセキュリティ危機から身を守るために知っておくべき重要情報と、今すぐ実践できる具体的な対策を紹介します。
190億件パスワード漏洩の恐るべき実態
サイバーニュース研究グループの分析により、わずか12か月間(2024年4月以降)で約200件のセキュリティインシデントにより、19,030,305,929件(約190億件)のパスワードを含むデータベースが盗まれました1。このデータベースは特定の電子メールアドレスに関連付けられたパスワードのみが含まれており、ハッカーがすぐに悪用できる状態になっています。
94%が再利用されている衝撃的現実
最も驚くべき事実は、190億個のパスワードのうち、一意のものはわずか6%しかないということです1。つまり、残りの94%のパスワードは複数のアカウントやサービスで再利用されているのです。これは、ひとつのサービスでパスワードが漏洩すると、あなたの他のアカウントも同時に危険にさらされることを意味します。
RockYou2024 - 史上最大のパスワード漏洩事件
2024年7月、「RockYou2024」と呼ばれる約100億件の漏洩パスワードが公開されました4。これは2021年に公開されたRockYou2021に新しい漏洩パスワードを追加したもので、パスワードの漏洩データセットとしては最大規模となっています。このような大規模漏洩は、クレデンシャルスタッフィング攻撃(盗まれた認証情報を使って複数のサービスへの不正アクセスを試みる攻撃)の増加につながります4。
フィッシングSMSの猛威 - 2025年最新状況
フィッシング詐欺はますます巧妙化し、その報告件数は急増しています。フィッシング対策協議会の発表によると、2025年3月の報告件数は前月から10万8713件増えて、24万9936件に達しました2。これは過去最多の記録であり、2020年の年間報告件数(約22万件)をわずか1ヶ月で上回る驚異的な数字です2。
配送業者を装った手口が最多に
トビラシステムズの調査によると、2025年1月および2月に確認されたフィッシング詐欺のSMSの種別割合では、宅配事業者をかたる手口が全体の約66-69%を占めています58。次いで多いのが金融・決済サービスを装った手口です。これらのSMSは、不在通知や緊急の支払い確認を装い、短縮URLをクリックするよう誘導してきます9。
なぜSMSが狙われるのか
SMSがフィッシング詐欺の手段として増加している理由はいくつかあります:
-
開封率の高さ - メールに比べてSMSは開封される確率が高い
-
短縮URLの使用 - リンク先が隠されるため、不審なURLと気づきにくい
-
緊急性の演出 - 「すぐに対応が必要」という内容で冷静な判断を妨げる
-
公式連絡との類似性 - 多くの企業が実際にSMSで通知を送るため判別が難しい9
被害事例:勝手に機種変更や住所変更も
実際の被害例として、ソフトバンクやワイモバイルを装った不審なSMSが確認されています。本文に記載のURLから偽サイトに誘導され、IDやパスワード、さらにはワンタイムパスワードまで入力してしまうと、意図しない住所変更や機種変更が行われる可能性があります10。これにより、知らない間に高額なスマートフォンが契約され、詐欺師に送られるという被害が発生しています。
パスワード管理のベストプラクティス
漏洩パスワードやフィッシング詐欺から身を守るためには、適切なパスワード管理が不可欠です。以下に重要な対策を紹介します。
サイトごとに異なるパスワードを使用する重要性
パスワードの再利用は最も危険な習慣の一つです。190億件の漏洩パスワードのうち94%が再利用されているという事実は、この危険性を如実に物語っています1。サイトごとに異なるパスワードを設定することで、一つのサービスでパスワードが漏洩しても、他のアカウントは安全に保つことができます。
ローマ字を含む長いパスワードの作成
強力なパスワードは、以下の要素を含むべきです:
-
少なくとも16文字以上の長さ
-
大文字・小文字のアルファベット、数字、記号の組み合わせ
-
日本語のローマ字表記を含める(予測しにくく、覚えやすい)
-
辞書に載っている単語をそのまま使わない
-
個人情報(誕生日、名前など)を含まない3
例えば、「suki_na_Tabemono-wa$SUSHI123」のように、自分だけが覚えやすい日本語フレーズをローマ字にし、記号や数字を混ぜるとより強力になります。
パスワードマネージャーの活用
多数の複雑なパスワードを管理するには、パスワードマネージャーの使用が効果的です。パスワードマネージャーを使用する際のベストプラクティスには以下が含まれます:
-
強力なマスターパスワードの作成
-
多要素認証(MFA)の有効化
-
脆弱なパスワード、使い回しのパスワード、漏洩したパスワードの変更
-
パスワードの定期的な監査
-
非アクティブのログアウトタイマーを設定3
フィッシングSMSから身を守る方法
フィッシングSMSの被害を防ぐために、以下の対策を実践しましょう。
不審なリンクをクリックしない
SMSに含まれるリンク、特に短縮URLには注意が必要です。受信したSMSに記載されたURLは直接クリックせず、公式サイトやアプリを直接開いて確認するようにしましょう6。
フィッシングSMSの見分け方
フィッシングSMSには以下のような特徴があります:
-
緊急性を強調し、即座の行動を促す文言(「今すぐ確認が必要」「24時間以内に対応しないと停止します」など)
-
短縮URL(bit.lyやtiny.urlなど)の使用
-
文法や語彙の誤り、不自然な表現
-
公式には使用しないアドレスからの送信
-
個人情報やパスワードの入力を求める7
公式アプリやブックマークからアクセスする習慣
サービスへのアクセスは、SMSやメールのリンクを経由せず、公式アプリや事前に登録したブックマークから行うようにしましょう。これにより、フィッシングサイトへのアクセスを防ぐことができます10。
今すぐ実践すべき対策チェックリスト
以下の対策を早急に実行し、自分の情報を守りましょう:
-
パスワードの漏洩確認:漏洩パスワードチェッカーを使用して、自分のパスワードが漏洩していないか確認する4
-
重要アカウントのパスワード変更:銀行、メール、SNSなど重要なアカウントのパスワードを、サイトごとに異なる強力なものに変更する
-
多要素認証の有効化:可能なすべてのサービスでMFAを設定する
-
パスワードマネージャーの導入:複雑なパスワードを安全に管理するためのツールを使用する
-
不審なSMSの削除:リンクをクリックせず、公式サイトで直接確認する
-
定期的なセキュリティレビュー:使用中のサービスやパスワードを定期的に見直し、安全性を確保する
まとめ:デジタル時代の自己防衛が不可欠
190億件ものパスワードが漏洩し、フィッシングSMSの報告が過去最多を記録する中、私たちのデジタル生活は重大な危機に直面しています。しかし、サイトごとに異なるパスワードを使用し、ローマ字を含む長いパスワードを作成し、多要素認証を有効化するなどの基本的な対策を講じることで、自分自身を守ることができます。
今日から始めることができる小さな変更が、あなたの大切な個人情報と資産を守る大きな盾となります。セキュリティ対策は面倒に感じるかもしれませんが、被害に遭った後の復旧と被害対応にかかる労力と比べれば、はるかに少ない労力で済みます。
デジタル時代の新しい生活習慣として、サイバーセキュリティを意識した行動を心がけましょう。あなたとあなたの大切な人を守るため、今すぐ行動を開始してください。
Citations:
- https://www.vietnam.vn/ja/19-ty-mat-khau-bi-danh-cap-duoc-cong-khai-de-doa-nghiem-trong-nguoi-dung
- https://ascii.jp/elem/000/004/266/4266074/
- https://www.keepersecurity.com/blog/ja/2024/07/18/best-practices-when-using-a-password-manager/
- https://news.mynavi.jp/techplus/article/20240709-2982251/
- https://prtimes.jp/main/html/rd/p/000000160.000034282.html
- https://www.jssec.org/column/20250428.html
- https://eset-info.canon-its.jp/malware_info/special/detail/250311.html
- https://prtimes.jp/main/html/rd/p/000000157.000034282.html
- https://kddimessagecast.jp/blog/sms/phishing_sms/
- https://k-tai.watch.impress.co.jp/docs/news/1355595.html
- https://www.nikkei.com/article/DGXZQOUC150HT0V10C25A4000000/
- https://www.soliton.co.jp/news/assets/docs/20241030/2024_1030_PW_NR-Soliton.pdf
- https://news.yahoo.co.jp/media/forbes
- https://www.itmedia.co.jp/enterprise/articles/1606/01/news088.html
- https://forbesjapan.com/articles/latest
- https://www.nikkei.com/markets/ir/irftp/data/tdnr/tdnetg3/20250430/fasp6a/140120250430527794.pdf
- https://qiita.com/mamono210/items/e1d3016d3bae3f0a3c9a
- https://codebook.machinarecord.com/threatreport/33941/
- https://news.yahoo.co.jp/articles/6eb29e019554f2e9c3a969be19e68f5f91d3fe82
- https://www.antiphishing.jp/report/monthly/202501.html
- https://qiita.com/magicant/items/aed4bd90f39a573e36b9
- https://gigazine.net/news/20240708-10-billion-passwords-leak-rockyou2024/
- https://innovatopia.jp/ai/ai-news/53731/
- https://www.antiphishing.jp/report/monthly/202502.html
- https://agest.co.jp/column/2024-02-09/
- https://iototsecnews.jp/2022/10/21/list-of-common-passwords-accounts-for-nearly-all-cyberattacks/
- https://support.eset.com/jp/kb6380-esetandroid
- https://www.antiphishing.jp/news/alert/
- https://ascii.jp/elem/000/004/256/4256144/
- https://www.accrete-inc.com/useful_information/20220719/
- https://help.eset.com/ems_gp/9/ja-JP/antiphishing.html
- https://www.security-next.com/169992
- https://anshin-security.docomo.ne.jp/security_news/mail-sms/index.html
- https://www.docomo.ne.jp/info/anti-phishing/example/
- https://yapp.li/magazine/7841/
- https://www.dekyo.or.jp/soudan/mb/index.html
- https://frauddetection.cacco.co.jp/media/knowhow/9473/
- https://www.docomo.ne.jp/info/anti-phishing/measure/
- https://eset-support.canon-its.jp/faq/show/31862?site_domain=private
- https://linx-corp.com/blog/smishing-sms/
