大規模なパスワード漏洩により、iCloudのパスワードが新たに公開される可能性があります

漏洩した1億8,400万件のパスワードには、iPhoneとMacコンピューターで使用されているAppleのログイン認証情報も含まれています。

2025年5月22日、サイバーセキュリティ研究者のジェレミア・ファウラー氏は、1億8,400万件以上のユーザー名とパスワードを含む、保護されていない大規模なデータベースを発見したと報告しました。47ギガバイトのElasticsearchサーバーは公開されており、パスワードや暗号化による保護はされていませんでした。

漏洩した認証情報には少なくとも29カ国のアカウントが含まれており、Facebook、Google、Microsoft、Appleといった広く利用されているプラ​​ットフォームのログイン情報が含まれていました。ファウラー氏がWebsite Planetで最初に公開した情報では、Appleのサービス名は挙げられていませんでしたが、調査の結果、iCloudのログイン情報も含まれていることがわかりました。

しかし、 10,000件のレコードのサンプルに基づくWiredの調査により、データセットにApple、iCloud、その他の主要なサービスが存在することが確認されました。

ファウラー氏がホスティングプロバイダーのワールドホストグループに警告した後、データベースはすぐにオフラインになりました。データベースの所有者は依然として不明であり、データがどれくらいの期間公開されていたのか、あるいは悪意のある人物によって既にアクセスされていたのかどうかも不明です。

Appleユーザーにとってこれが重要な理由

Appleのシステムは侵害を受けなかったものの、Apple IDの認証情報を他のサイトで再利用していたユーザーは、現在、高いリスクにさらされています。ブラウザやアプリに保存されている認証情報を盗み出すために設計されたソフトウェアであるInfostealerマルウェアが、漏洩したデータをまとめたようです。

攻撃者が使い古されたパスワードを1つ入手すると、Apple IDアカウントを含む他のサービスへのログインを試みることができます。侵害サンプルには数百件のAppleログイン情報が含まれていました。データセット全体の規模を考えると、数千件のApple認証情報が含まれていた可能性があります。

Appleアカウントは、決済手段、iCloudバックアップ、デバイス追跡機能と統合されているため、非常に価値の高い標的となります。侵害された場合、攻撃者は個人情報の盗難、写真やメールへのアクセス、Appleデバイスのリモートロックやデータ消去を試みる可能性があります。

まだ分​​からないこと

ファウラー氏は、漏洩した認証情報を誰が収集・保管したかを特定していない。また、Elasticsearchサーバーがオンライン状態だった期間や、セキュリティが確保される前に脅威アクターがアクセスしたかどうかも不明である。ホスティングプロバイダーは顧客の身元を明らかにしていない。

Appleは本稿執筆時点では、今回の侵害について公式な回答を出していません。「Appleでサインイン」やiCloudキーチェーンといった同社のセキュリティ機能は、パスワードの再利用に伴うリスクを軽減します。

それでも、複数のプラットフォーム間で認証情報を再使用したり、フィッシング詐欺に遭ったりするユーザーを保護することはできません。

Appleユーザーが今すべきこと

Apple IDのパスワードをすぐに変更してください。特に、他のサイトで同じパスワードを使用している場合は、アカウントのセキュリティを強化するために、長くて推測されにくい、独自のパスワードを使用することが重要です。

さらに、2ファクタ認証（2FA）がまだ有効になっていない場合は、有効にしてください。Appleはすべてのアカウントにこの追加のセキュリティレイヤーを推奨しており、設定またはaccount.apple.comから有効にすることができます。

次に、Apple Passwordsや信頼できるパスワードマネージャーを使って、サイトやアプリごとに固有のパスワードを作成し、保存することを検討してください。これにより、複数のサービスで同じ認証情報を使い回すことを防ぎ、セキュリティを脅かす事態を防ぐことができます。

iCloud+サブスクリプションに含まれるAppleの「メールを非表示」サービスを利用すると、オンラインアカウントのセキュリティがさらに強化されます。Apple IDのメールアドレスにメールを転送するアカウントごとに、固有のメールエイリアスを作成できます。エイリアスはいつでも無効にできます。

さらに、「Have I Been Pwned」などのツールを使って、あなたの認証情報が漏洩の対象になっていないか確認してください。Apple IDがリストに載っていなくても、パスワードの使い回しによって、他の場所での漏洩があなたに影響を及ぼしている可能性があります。

「設定」→「Apple ID、パスワードとセキュリティ」にアクセスし、iCloudとAppleアカウントの設定を確認してください。ログイン場所、信頼できるデバイス、復旧方法などを確認し、すべてが安全であることを確認できます。

メールやアプリのログインアラートを監視し、不明なデバイスや場所からのサインインなど、不審なアクティビティがないか確認することも重要です。最後に、フィッシング詐欺にも警戒してください。

攻撃者があなたのメールアドレスと過去のパスワードを知っていれば、説得力のある偽のメールを作成し、偽のページで Apple ID の認証情報を入力させようとする可能性があります。