データ侵害

190億件のパスワードが流出：RockYou2024が意味すること

2026年4月13日5分で読めます最終更新 2026年4月15日

By Marcus Weber — CISSP certified, 12 years in cybersecurity journalism

190億件のパスワードが流出：RockYou2024があなたにとって意味すること

サイバーセキュリティ研究者たちが、これまでに記録された中で最大の公開索引付き不正認証情報コレクションを発見しました。RockYou2024と名付けられたこのリポジトリには、200件以上の最近のデータ侵害から集約された190億件以上の漏洩パスワードが含まれています。このファイルはハッカーフォーラム上で活発に流通しており、銀行プラットフォーム、ソーシャルメディアアカウント、そして企業ネットワークへのクレデンシャルスタッフィング攻撃に悪用されています。

あなたがオンラインアカウントを一つでも持っているなら、この流出はあなたにとって無関係ではありません。

RockYou2024とは何か、そしてどこから来たのか？

「RockYou」という名前は、セキュリティコミュニティにおいて重みを持っています。これは2009年にRockYouゲームプラットフォームが侵害を受け、3,200万件の平文パスワードが流出した事件に由来しており、そのファイルはパスワードクラッキングツールの基礎的な参照リストとなりました。RockYou2024は、その概念をはるかに野心的かつ危険な形に進化させたものです。

RockYou2024は単一の侵害から生じたものではなく、200件以上の個別インシデントから引き出されたコンパイル済みデータセットです。つまり、これは一つの企業の失敗を表しているのではありません。業界、国、プラットフォームをまたがった何年にもわたる累積的な侵害を表しており、それらすべてが一つの検索可能な宝庫に統合され、悪意ある者が今や組織的に展開できる状態になっています。

190億という数字は個々のパスワードエントリ数を指しており、ユニークなアカウント数ではありません。多くのレコードが異なる侵害をまたいで複数回登場しています。しかし研究者たちは、重複を考慮したとしても、このデータセットの膨大なボリュームと広がりは依然として非常に危険であると警告しています。

クレデンシャルスタッフィングこそが真の脅威である理由

RockYou2024が引き起こす主なリスクは、誰かがブルートフォースであなたのパスワードを解読するというものではありません。攻撃者がすでにそれを持っている可能性があるということです。

クレデンシャルスタッフィング攻撃はこのように機能します。攻撃者が漏洩データセットから既知のユーザー名とパスワードの組み合わせを取得し、それを数十から数百の他のサービスに対して試みます。あなたが何年も前にフォーラムアカウントで使用したパスワードを今も銀行で使い回しているなら、攻撃者はあなたの銀行をハッキングする必要はありません。すでに持っている認証情報を試すだけでよいのです。

パスワードの使い回しは、個人のセキュリティにおいて最も広く蔓延し、悪用されている習慣の一つであり続けています。調査によると、ユーザーのかなりの割合が複数のアカウントでパスワードを使い回していることが一貫して示されています。RockYou2024は、その習慣を直接的でスケーラブルな脆弱性へと変えてしまいます。

このデータセットは単一の脅威アクターによって非公開で保持されるのではなく、フォーラム上でオープンに流通しているため、攻撃対象は高度なハッカーだけに限定されません。比較的スキルの低いオペレーターでも、広く入手可能なツールとこのデータセットを燃料源として、クレデンシャルスタッフィングキャンペーンを実行できるようになりました。

あなたにとって何を意味するのか

このデータセットの源となった200件以上の侵害のいずれかにあなたの認証情報が含まれていた場合、そのファイルをダウンロードした誰もがそれを手にしている可能性があります。しかし、あなたのアカウントが直接侵害されていないと考えていたとしても、RockYou2024の規模はリスクが仮定上のものではないことを意味します。

今すぐ最も重要なことは以下の通りです：

パスワードの使い回しが核心的な脆弱性です。 あるアカウントの強固でユニークなパスワードは、同じパスワードを別の場所で使用していてそのアカウントが侵害された場合、何の意味もありません。各アカウントには固有のパスワードを持たせるべきです。

VPNはパスワードを守りません。 VPNはインターネットトラフィックを暗号化し、IPアドレスを隠すものであり、プライバシーの観点から本当に価値があります。しかし、クレデンシャルスタッフィングを防ぐ効果はありません。攻撃者がすでにあなたのユーザー名とパスワードを持っている場合、接続を傍受する必要はなく、ログインを試みるだけでよいのです。多層的なセキュリティとは、トラフィック保護と強固な認証情報管理を組み合わせることを意味します。

多要素認証が最も効果的な防壁です。 攻撃者があなたの正しいユーザー名とパスワードを持っていたとしても、アプリからのコード、ハードウェアキー、または生体認証チェックなど、二番目の認証要素がログイン試行を完全に阻止します。提供されているすべての場所で有効にし、金融アカウント、メール、支払い方法に紐づいたアカウントを優先してください。

自分の露出状況を確認してください。 Have I Been Pwnedのような無料サービスを使えば、メールアドレスを入力して既知の侵害のどれにあなたの認証情報が含まれているかを確認できます。手軽で価値ある確認作業です。

パスワードマネージャーを使用してください。 すべてのアカウントに対してユニークで複雑なパスワードを生成・記憶することは、ツールなしでは現実的ではありません。パスワードマネージャーはそれを自動的に処理し、強固な認証情報を作成して安全に保存するため、覚える必要があるのはマスターパスワード一つだけです。

デジタルアイデンティティの保護は単一のツールを超えたところにある

RockYou2024は、デジタルセキュリティが一度購入して忘れられる製品ではないことを思い起こさせます。それは重複する実践の集合体です。トラフィックの暗号化、認証情報の慎重な管理、多要素認証の有効化、そしてフィッシング試みへの警戒は、すべて連携して機能します。これらの層のいずれか一つを取り除くと、攻撃者が悪用する準備のできたギャップが生まれます。

この流出の規模は憂慮すべきものですが、対応はパニックである必要はありません。体系的である必要があります。最も重要なアカウントから始め、使い回しているパスワードを変更し、多要素認証を有効にし、今後はパスワードマネージャーを使用してください。これらの手順があらゆる脅威から完全に守ってくれるわけではありませんが、クレデンシャルスタッフィング攻撃が狙うように設計されたターゲットの大多数より、はるかに有利な立場に立つことができます。

// よくある質問

RockYou2024とは何ですか？

RockYou2024は、これまでに記録された中で最大の公開索引付き不正認証情報コレクションであり、200件以上の個別データ侵害からコンパイルされた190億件以上の漏洩パスワードを含んでいます。このファイルはハッカーフォーラム上で活発に流通しており、銀行プラットフォーム、ソーシャルメディアアカウント、そして企業ネットワークへの攻撃に使用されています。

RockYou2024のデータセットはどこから来たのですか？

単一の侵害とは異なり、RockYou2024は業界、国、プラットフォームをまたがる200件以上の個別のデータ侵害インシデントからコンパイルされました。これは一つの企業の失敗の結果ではなく、何年にもわたって蓄積された侵害が一つのデータセットに統合されたものです。

190億という数字は190億件のユニークなアカウントが侵害されたことを意味しますか？

いいえ、190億という数字は個々のパスワードエントリ数を指しており、ユニークなアカウント数ではなく、多くのレコードが異なる侵害をまたいで複数回登場しています。しかし研究者たちは、重複を考慮したとしても、このデータセットのボリュームと広がりは依然として非常に危険であると警告しています。

クレデンシャルスタッフィング攻撃とは何ですか？また、RockYou2024がそれをより悪化させる理由は何ですか？

クレデンシャルスタッフィング攻撃とは、漏洩データセットから既知のユーザー名とパスワードの組み合わせを取得し、パスワードの使い回しという一般的な習慣を悪用して多くの他のサービスに対して試みるものです。RockYou2024がこれをより悪化させるのは、データセットがフォーラム上でオープンに流通しているため、スキルの低い攻撃者でも広く利用可能なツールを使ってこうしたキャンペーンを実行できるからです。

RockYou2024のデータセットを悪用するために高度なハッカーである必要がありますか？

いいえ、データセットが非公開で保持されるのではなくハッカーフォーラム上でオープンに流通しているため、比較的スキルの低いオペレーターでも広く入手可能なツールとデータセットを使ってクレデンシャルスタッフィングキャンペーンを実行できます。これにより、潜在的な攻撃対象は高度なハッカーだけをはるかに超えて広がっています。