ブログに戻る

240億のパスワード流出:アカウント置換業界の仕組みとは

2026年6月12日、Cybernewsの研究者たちは、240億の盗まれたアカウントを含む8.3TBのパスワードなしのサーバーを発見しました。内部を分析し、常駐およびモバイルプロキシを介したアカウントの置き換えの仕組み、そしてなぜ盗まれたパスワードの闇市場が合法的なウェブスクレイピングやマルチアカウントにまで影響を与えるのかを探ります。

📅2026年7月7日
240億のパスワード流出:アカウント置換業界の仕組みとは
```html

240億の盗まれたログイン情報とパスワードが一つの場所に集められ、誰でも接続できるオープンサーバーに存在していました。Cybernewsの研究者たちの発見は、単なる「N百万の漏洩」ではありません。これは、情報泥棒がアカウント情報を盗み、コンボリストがそれを集約し、ボットの軍団がそれをサイトを通じて実行し、各試行を居住者やモバイルプロキシを使って生きたユーザーのように偽装するという、全体の産業のショーケースです。私たちは、何が見つかったのか、クレデンシャルスタッフィングがどのように機能するのか、そしてなぜこの闇市場が合法的なウェブスクレイピングやマルチアカウントにも影響を与えるのかを解説します。

何が起こったのか:8.3TBと240億の記録が一つのサーバーに

2026年6月12日、Cybernewsの研究者たちは8.3テラバイトのオープンElasticsearchクラスターを発見しました。その中には240億の記録が含まれていました。このデータベースはパスワードや認証なしで保護されておらず、アドレスを知っている誰でも読むことができました。発見が公表された後すぐに、サーバーはオフラインにされ、研究者たちは所有者を突き止めることができませんでした。

このデータは36のソースから集められており、これは重要なポイントです。大部分は「コレクション」と呼ばれるもので(約226億の記録)、残りの構造は特に注目に値します:

  • 17億以上の記録がTelegramチャンネルから直接引き出されており、36のソースのうち30以上が盗まれたデータを公然と取引しているチャンネルでした;
  • 2.6億の記録が「Darkside」へのリンクを持つチャンネルから;
  • 1.5億がローカルデータベースのダンプ;
  • 1.46億が過去の漏洩からのコンピレーション(コンボリスト)。

内部には単なる「メールとパスワード」だけではありません。データのかなりの部分は情報泥棒のログであり、RedLine、Lumma、Vidarのようなマルウェアが感染したブラウザからあらゆる情報を引き出します。より完全なログには保存されたパスワード、セッションクッキーやトークン(2要素認証を回避するためのものを含む)、自動入力データ、デバイスのフィンガープリンティング、時には暗号ウォレットが含まれています。各記録には通常、パスワードが適合するサービスのURLが付いており、つまり「どこにログインするか」の指示が用意されています。

もう一つの懸念すべき点は、間接的な証拠(データ内に2026年までの新しい資料へのリンクが見つかることから)から、所有者が定期的にデータベースを更新していたことがわかることです。これはアーカイブの廃棄物ではなく、生きた、更新されるツールです。

漏洩したパスワードからお金を作る方法:クレデンシャルスタッフィング

「ログイン-パスワード」のリスト自体は、実際のサイトで確認されるまで無意味です。これを行うのがクレデンシャルスタッフィングです:自動化されたボットが盗まれたペアを取り、何百ものサービスにログインを試みます。これは、人間が複数の場所で同じパスワードを使用することを期待しているのです。

問題の規模は、2025年のVerizon DBIRのデータからよく見えます。クレデンシャルスタッフィングは、SSOプロバイダーのログでのすべての1日のログイン試行の中央値19%を占め、大企業ではその割合が25%に達し、最悪の日にはすべてのログイントラフィックの44%に達しました。盗まれたアカウント情報は、22%の確認されたハッキングの初期ベクトルでした。2025年だけで、ダークネットのコンボリストから約20億のユニークペアが集められ、今や一つのサーバーに240億の記録が存在していました。

ここからがプロキシ産業に直接関係する部分です。攻撃者は最初の試行でバレないように、居住者やモバイルプロキシのプールを通じてリクエストを通過させます。各ログイン試行は、実際のプロバイダーやモバイルオペレーターの新しいIPアドレスから行われます。サイトの保護にとって、これは一つの疑わしいマシンが千回叩いているようには見えず、異なる都市からの千人の「普通のユーザー」のように見えます。このようなローテーションでは、単一のIPからのリクエスト頻度に基づく古典的な保護はほとんど無意味です。

なぜこれが合法的なスクレイピングやマルチアカウントに影響を与えるのか

データを正直に収集している人々、SMM自動化を行っている人々、またはビジネスのために複数のアカウントを持っている人々には関係ないように思えるかもしれません。しかし、アンチボットシステムは意図を区別せず、パターンを区別します。悪意のある者が居住者IPを通じてログインのクレデンシャルスタッフィングを生きたトラフィックに偽装すればするほど、Cloudflare、Akamai、DataDome、AWS WAFはすべての人に対して厳しくなります。

ここから、検出のシフトがIPレベルからアイデンティティレベルに移行します。今日のフィルターは、アドレスだけでなく、クライアントの行動やネットワークフィンガープリンティングの見た目を見ています:

  • TLSおよびHTTPフィンガープリンティング(JA3/JA4) — ハンドシェイクが宣言されたブラウザと一致しない場合、クライアントは疑わしいとマークされます;
  • 行動分析のタイミング — 生きた人間は行動の間に「浮動」する間隔を持ちますが、スクリプトはほぼ同じ間隔を出力します;
  • 成功率の異常 — 多くのアカウントに分散した稀な成功したログインは、スタッフィングの特徴的なサインです;
  • ヘッダーやJavaScriptの空白 — ページ全体をレンダリングしないボットは、クッキーやJSが設定する値を失います。

そのため、2026年にはスクレイピングがますますアイデンティティのゲームになり、IPの数を競うものではなくなります。私たちは、TLSおよびJA4フィンガープリンティングのメカニズムを詳しく説明しました。正直なプロジェクトにとってのシンプルな結論は、プロキシの「質」と「清潔さ」がその「量」よりも重要であるということです。昨日、他人のパスワードを試すために使用されたIPは、今日、評判システムのブラックリストに載っており、あなたの合法的なトラフィックを引きずり下ろします。

評判の測定もあります。ハッキングされたスマートTVのボットネットに関するスキャンダルや、最近の影のプロキシネットワークの排除は、「居住者」市場の一部が疑わしいソースから供給されていることを示しました。ビジネスにとっては、IPの透明な出所と明確なKYCを持つプロバイダーを選ぶシグナルであり、最も安価な未知の品質のプールではありません。合法的な居住者プロキシモバイルプロキシは、すべてが始まる「清潔な」評判を提供し、クレデンシャルスタッフィングトラフィックと同じセグメントに入るリスクなしに提供します。

今すぐできること

一般のユーザーにとって、これらの漏洩からの主な防御は、パスワードそのものではなく、そのユニークさです。フォーラムのパスワードを盗んだ情報泥棒は、そのパスワードがメールや銀行に適用される限り、危険です。

  • 各サービスにユニークなパスワードと、それを頭に入れずに管理するためのパスワードマネージャー。クレデンシャルスタッフィングは再利用にのみ依存しています。
  • 重要なアカウントには二要素認証またはパスキーを設定 — メール、銀行、店舗、ソーシャルメディア。漏洩したパスワードでも、二要素がなければログインは難しくなります。
  • セッショントークンに注意してください。情報泥棒は、パスワードと2FAの入力を超えて生き残るクッキーを盗みます — したがって、感染の疑いがある場合は、パスワードを変更するだけでなく、すべてのデバイスでアクティブなセッションを終了する必要があります。
  • 何でも実行しないでください。情報泥棒は、悪意のある広告、偽の「ブラウザの更新」、ハッキングされたソフトウェア、ゲームのチート、疑わしい拡張機能、ClickFix攻撃を通じて広がります。ここでは、犠牲者が自らコマンドを実行するように説得されます。

サイトとの作業を合法的に自動化している人々にとっての教訓は、アイデンティティを分離し、それらを混ぜないことです。アカウントの別のセットには、別のクリーンなIP、整合性のあるフィンガープリンティングを持つ別のブラウザプロファイルがあります。これがアンチデテクトシナリオの構築方法であり、したがって、今日の安価な「グレー」プロキシプールは、プロジェクトにとって存在しないよりも危険です。

結論

パスワードなしのサーバーに240億の記録があることは、単なる記録のための記録ではなく、機能する経済のスナップショットです:情報泥棒が入り口にいて、コンボリストが中間にあり、居住者プロキシを通じてクレデンシャルスタッフィングが行われます。人々がパスワードを再利用する限り、このコンベヤーは利益を上げ続け、アンチボット保護はますます厳しくなります。衛生を無視する者が敗北します:ユニークなパスワードと2FAを持たない一般ユーザーと、インフラの清潔さを節約しようとするビジネスです。アイデンティティに基づいて検出が構築される世界では、透明性と品質への投資は贅沢ではなくなります。

```