先週発見された保護されていないデータベースには、仮想通貨取引所、金融サービス、政府システムから収集された1億4,900万件のログイン情報が含まれており、その中に42万件のBinanceアカウント認証情報が含まれていた。
サイバーセキュリティ研究者Jeremiah Fowlerは、暗号化やパスワード保護なしでアクセス可能だった96ギガバイトのリポジトリを特定した。
Fowlerの報告によると、このデータベースは1か月以上オンライン状態のままで、その間も記録が追加され続けていた。
Gmailアカウントが4,800万件と最大の割合を占め、次いでFacebookのログイン情報が1,700万件だった。仮想通貨プラットフォームの件数はそれより少ないものの依然として重大であり、とくにBinanceの42万件のアカウントが主要な取引所として影響を受けていた。
何が起きたのか
流出した認証情報は、取引所そのものへの直接侵入ではなく、感染した個人デバイスからインフォスティーラーマルウェアによって収集されたものだった。この悪意あるソフトウェアは、侵害されたシステム上で密かに動作し、キーストロークやブラウザに保存されたパスワードを記録して、攻撃者が管理するサーバーへ送信する。
Fowlerはこのデータベースをホスティング事業者に報告したが、削除が完了するまでには約1か月にわたるやり取りを要した。
このデータベースは盗まれた認証情報を逆順のホストパスでインデックス化しており、ドメインやユーザーごとに効率的に検索できる設計となっていたことから、組織的な犯罪インフラの存在が示唆される。
Googleは、このデータセットは新たなプラットフォーム侵害によるものではなく、サードパーティ製マルウェアによって時間をかけて盗まれた認証情報を寄せ集めたものだと確認した。同社は、露出した認証情報が確認された際にアカウントを自動でロックし、パスワード変更を強制する保護機能を維持している。
関連記事: BitMine Acquires 40,000 ETH In Largest 2026 Purchase After Share Expansion
暗号資産業界への影響
この流出は、全体規模に対する割合以上に暗号資産ユーザーへ影響を与えている。Binanceアカウントは漏えいした認証情報全体の0.28%に過ぎないものの、暗号資産は伝統的な金融サービスのような不正防止策や取引の取り消しが基本的に存在しないため、資産を恒久的に失うリスクが高い。
Binanceの最高セキュリティ責任者であるJimmy Suは2025年3月、取引所システムの侵害ではなくマルウェア感染によるユーザー認証情報の侵害が増加しているとして、インフォスティーラーの脅威について言及していた。取引所側はダークウェブ上の情報源を監視し、影響を受けたアカウントに対してパスワードリセットを実施している。
セキュリティ研究者らの推計によると、インフォスティーラーマルウェアのインフラは月額200〜300ドル程度でレンタルでき、認証情報窃取ビジネスへの参入障壁は低い。Recorded FutureのアナリストAllan Liskaは、犯罪者は一般的な自動車のローン支払い以下のサブスクリプション料金で、毎月数十万件もの新たな認証情報にアクセスできると指摘する。
このデータベースには、暗号資産ウォレットやトレーディングアカウント、銀行サービスに加えて、ソーシャルメディアや動画配信プラットフォームの認証情報も含まれていた。複数の国の政府系メールドメインもサンプルに含まれており、標的型フィッシングやシステム侵入の試みが懸念されている。
関連記事(次に読む): UK Banks Block 40% of Crypto Exchange Payments, Industry Survey Finds