パスワードは使い回さない。二段階認証も設定済み。怪しいメールのリンクも踏まない──。セキュリティ対策を「自分なりにちゃんとやっている」と思っている方ほど、今回のニュースは衝撃かもしれません。
2025年11月、セキュリティメディア「Cybernews」の調査により、世界26カ国・約10億件もの個人情報が、パスワードすらかかっていないデータベースにむき出しの状態で放置されていたことが判明しました。しかも、これはハッカーの攻撃による「データ侵害(breach)」ではなく、管理ミスによる「データ漏洩(leak)」。つまり、誰でもアクセスできる状態だったのです。
この記事では、今回の漏洩の全容と、私たちが今すぐ取るべき対策を、スマホライフPLUS編集部が徹底解説します。
何が起きたのか?──パスワードなしのデータベースが野ざらしに
発見の経緯と規模
Cybernewsの調査チームが2025年11月11日に発見したのは、インターネット上に無防備な状態で公開されていた約1テラバイトのデータベースです。本来、このデータは「本人確認(ID認証)サービス」に使われていたもの。企業がユーザーの身元を確認する際に参照する、いわば「デジタル身分証明書の束」のような存在です。
Cybernewsが運営元に連絡を取った結果、翌日にはデータベースは保護されましたが、それまでの間、理論上は誰でもアクセスできる状態でした。
(ここに画像挿入:国別の漏洩件数を示す棒グラフまたはインフォグラフィック)
被害規模:日本は含まれていないが安心はできない
国別の漏洩件数を見ると、最も多いのはアメリカの約2億400万件。次いでメキシコの1億2,300万件、フィリピンの7,200万件と続きます。ドイツ、イタリア、フランスといったヨーロッパ各国や、ブラジル、マレーシア、中国、香港など、まさに世界規模の漏洩です。
今回のリストに日本は含まれていませんが、「だから安心」とは言い切れません。漏洩したデータが他のデータセットと組み合わされたり、転売されたりすることで、日本在住の方に被害が及ぶ可能性は十分にあります。特に、海外サービスに登録している方は要注意です。
何が漏れたのか?──「構造化データ」という厄介さ
今回流出が確認された個人情報は、以下のように多岐にわたります。
・氏名(フルネーム)
・住所・郵便番号
・生年月日
・国民ID番号(マイナンバーに相当するもの)
・電話番号
・メールアドレス
・性別
・通信キャリアのメタデータ
・過去の情報漏洩履歴やSNSプロフィール情報
ここで特に問題なのが、これらのデータが「構造化」されていたという点です。構造化データとは、Excelの表のように項目ごとにきれいに整理された状態のデータを指します。バラバラのテキストファイルとは違い、名前で検索すれば住所も電話番号もメールアドレスも一発で引ける状態だったわけです。
想定される悪用シナリオ
この手のデータが犯罪者の手に渡った場合、以下のような被害が考えられます。
・標的型フィッシング詐欺: あなたの本名・住所・利用キャリアを知っている詐欺師から、「○○様、△△キャリアをご利用いただきありがとうございます」といった、本物そっくりのメールやSMSが届く。
・SIMスワップ詐欺: 電話番号と本人確認情報を使って、あなたの電話番号を犯罪者のSIMカードに移す手口。二段階認証のSMSを乗っ取られる危険があります。
・なりすまし・身分詐称: 国民IDや生年月日を使い、あなたになりすましてローンを組んだりクレジットカードを作成したりする「アイデンティティ盗難」。
「データ侵害」と「データ漏洩」──似ているようでまったく違う
今回の事案を理解する上で押さえておきたいのが、「侵害(breach)」と「漏洩(leak)」の違いです。
データ侵害は、ハッカーがセキュリティの壁を破って内部に侵入し、データを盗む行為。いわば「鍵をこじ開けて金庫室に入る」泥棒です。
一方、データ漏洩は、管理者側のミスでデータが外から見える状態になってしまうこと。今回のケースでいえば、「金庫室のドアを閉め忘れて、通りすがりの人が中を見られる状態だった」ようなものです。
どちらも結果としてデータが外部に露出する点は同じですが、漏洩の場合、「いつから、どれだけの期間、誰がアクセスしたか」の特定が極めて難しいのが特徴です。ハッカーの侵入ログが残る侵害とは異なり、漏洩では痕跡が残りにくい。これが今回の事案を特に不安にさせるポイントです。
本人確認ビジネスの「裏側」が見えた事件
今回の漏洩元とされたデータベースは、企業向けの本人確認(ID認証)サービスに使われていたものです。私たちが日常的に行っている「eKYC」──スマホで免許証を撮影して送る、あの手続きの裏側で動いている仕組みの一部だと考えると、身近さが増します。
本人確認サービス市場は年々拡大しており、2024年時点で世界市場は100億ドル規模に達しています。フィンテック企業やオンラインバンキングの普及に伴い、今後さらに成長が見込まれる分野です。
しかし、その成長の裏側で、膨大な個人データを一元管理することのリスクが改めて浮き彫りになりました。データを集約すれば利便性は上がりますが、それは同時に「一箇所が崩れれば全部漏れる」という脆弱性を抱えることでもあります。
スマホライフPLUS編集部としては、今回の事件は「個人の注意不足」の問題ではなく、データを預かる側の管理体制の問題だと考えます。ユーザーにできる対策は限られますが、それでもやれることはあります。
今すぐやるべき3つの対策
1. 身に覚えのない連絡に、いつも以上に警戒する
今後しばらくは、見知らぬ番号からの電話や、公式を装ったSMS・メールに十分注意してください。漏洩データを使った詐欺は、驚くほど「自分のことを知っている」口調で来ます。名前を呼ばれても、すぐに信用しないことが大切です。
2. ID盗難保護サービスの利用を検討する
海外サービスを多く利用している方は、「Identity Theft Protection(ID盗難保護)」サービスの導入を検討する価値があります。万が一、なりすましによる被害が発生した場合に、早期検知と復旧をサポートしてくれるサービスです。
3. 二段階認証をSMSから認証アプリへ切り替える
SIMスワップ詐欺のリスクを下げるために、二段階認証の方法をSMS(テキストメッセージ)から、Google AuthenticatorやMicrosoft Authenticatorなどの認証アプリに切り替えましょう。これだけで、電話番号を乗っ取られても認証コードを守ることができます。
(ここに画像挿入:スマートフォンで認証アプリを設定している手元の写真)
出典:【tom’s guide】
※サムネイル画像はスマホライフPLUS編集部が作成したものです。
