OneKitTools logoOneKitTools
security1分で読めます

サイトがハッキングされたとき、あなたのデータに本当に何が起きるのか

企業が「データ侵害」を発表したとき、あなたにとって何を意味するのか?ハッキングから受信箱までの本当のタイムライン、そして何をすべきかを解説します。

OneKitTools Team2026年4月14日

「お客様のセキュリティを真剣に受け止めています」

あのメールが届きました。使っている企業が「セキュリティインシデント」を受けたとのこと。「プライバシーを真剣に受け止めています」。「サイバーセキュリティの一流専門家と協力しています」。「念のためパスワードを変更することをお勧めします」。

これは実際に何を意味するのか?あなたのデータに何が起きたのか?そしてハッカーたちは今、そのデータで何をしているのか?

データ侵害が実際にどのように起きるか

頻度順の最も一般的なシナリオ:

SQLインジェクション — 攻撃者がサイト上のフォーム(検索、ログイン、お問い合わせ)でデータベースコマンドを注入できる箇所を発見します。ユーザー名の代わりに' OR 1=1 --と入力すると、データベースが全データを返します。この脆弱性は数十年前から存在し、今でも最も一般的です。

クレデンシャルスタッフィング — 攻撃者が他のデータ侵害からパスワードを取得し、ターゲットのサイトで試します。2019年にハッキングされたサイトのパスワードを使い回していたなら、攻撃者はすでにあなたの認証情報を持っています。

従業員へのフィッシング — 企業の誰かが説得力のある偽メールをクリックして認証情報を渡し、攻撃者が内部アクセスを取得します。多くの大規模侵害は、1人の従業員のフィッシングクリックから始まっています。

パッチが当たっていないソフトウェア — 既知の脆弱性を持つ古いバージョンのフレームワークやライブラリで動いているサーバー。攻撃者がそれを利用してアクセスを取得し、データを抽出します。

内部脅威 — より稀ですが実在します。不満を持つ従業員、アクセス権限を持ちすぎた請負業者。

彼らが盗むもの

すべての侵害が同じではありません。攻撃者が抽出するものは、企業が保存していたものによって異なります:

レベル1——最悪(1件あたり700〜7,000円で売られることが多い)

  • フルネーム+メール+電話+生年月日+住所
  • 部分的または完全なクレジットカード番号
  • マイナンバー/運転免許証番号
  • 平文パスワード(はい、今でも起きています)

レベル2——悪い

  • メール+ハッシュ化パスワード(通常こちら)
  • ユーザー名+アカウントメタデータ
  • 購買履歴

レベル3——面倒だが限定的

  • メールアドレスのみ
  • IPアドレス

企業の侵害通知は通常、何が露出したかを説明しています。注意深く読んでください。

その後、データに何が起きるか

0時間目——データ流出

攻撃者がデータをコピーします。誰かが気づく前に、システム内に数日から数ヶ月いた可能性があります——発見前の平均「滞在時間」は197日です。

1〜7日目——自己利用または販売

攻撃者は:

  • 自分でデータを使う(ターゲット企業の場合や特定のアカウントが欲しい場合)
  • 「鮮度」価値が最大なうちにすぐダークウェブマーケットで売る

1〜4週目——侵害が公開される

企業がそれを発見する(セキュリティツール、研究者からの通知、身代金要求による)か、ハッカーフォーラムに現れます。企業がユーザーに通知——多くの場合、事件から数週間後。

1〜12ヶ月目——クレデンシャルスタッフィングキャンペーン

攻撃者が主要サービスであなたのメール+パスワードの組み合わせを試します:Gmail、Netflix、PayPal、銀行。自動ツールが1分間に何千もの組み合わせを試します。そのパスワードをどこかで使い回していたなら、見つかります。

1年目以降——ロングテール

侵害データは期限切れになりません。2018年の侵害が2026年のフィッシングキャンペーンに使われることがあります。複数の侵害からのデータが組み合わされて(「データエンリッチメント」)、標的型攻撃のためのより完全なプロフィールが構築されます。

パスワードはどのように保存される(べき)か

企業がパスワードを保存する際、実際のパスワードを決して保存すべきではありません。代わりにハッシュを保存します——不可逆的な数学的変換です。

  • パスワードを設定:password123
  • サイトが保存:6f3b56e15f5f9a5b...(SHA-256ハッシュ)
  • ログイン時:サイトが入力をハッシュ化してハッシュを比較

問題は:すべてのハッシュが同じではないことです。

MD5 — 計算が速く、解読も速い。1枚のGPUが1秒間に100億のMD5ハッシュをテストできます。1,000万パスワードのMD5データベースが侵害されると、数分で解読できます。

SHA-256(ソルトなし) — より良いが、依然として速い。レインボーテーブル(事前計算されたハッシュのデータベース)が一般的なパスワードを即座に解読できます。

bcrypt / Argon2遅くなるように設計されています。1秒間に100億のMD5ハッシュを解読するGPUは、bcryptハッシュは1秒間に約100しか解読できません。bcryptハッシュ化パスワードの侵害は、数分ではなく数ヶ月かかります。

平文 — はい、一部の企業は依然としてパスワードを平文で保存しています。侵害通知が「ハッシュ化パスワードが露出」ではなく「パスワードが露出」と言っていたら、それは警告サインです。

メールを受け取ったらすべきこと

すぐに(最初の24時間):

  1. そのサイトのパスワードを変更する——侵害がハッシュ化パスワードのみに影響した場合でも
  2. 他の場所で同じパスワードを使っていたなら、そこでも変更する——当日中に全部
  3. サイトが機密データ(カード、マイナンバー)を保存していたか確認する——そうなら信用情報を監視

1週間以内に:

  1. まだなら、影響を受けたサイトで2FAを有効にする
  2. HaveIBeenPwnedデータベースでメールを確認し、露出の全容を見る
  3. 侵害されていることがわかった各サイトに新しいユニークなパスワードを生成する(パスワードジェネレーター

長期的に:

  1. 各サイトに異なるパスワードを使う——常に。パスワードマネージャーがこれを管理可能にします。
  2. メールで2FAを有効にする——それがその他すべての回復キーです
  3. マイナンバーが露出していた場合はクレジットフリーズを検討

本当に重要な唯一のこと

パスワードの使い回しが、侵害後のアカウント乗っ取りのほとんどの根本原因です。2012年のLinkedInパスワードが今日のGmailパスワードと同じなら、12年前の侵害は今でも現在の脅威です。

メールが侵害にあったか確認する。そうなら、当時使っていた全パスワードを侵害済みとして扱い——新しいものを生成してください。

シェア

関連記事

security

"2FA完全解説:SMS認証コードが思ったより安全でない理由"

1分で読めます
security

"パスワードセキュリティ:パスワードが漏洩しているか確認する方法"

1分で読めます

紹介されたツール

Email Breach Checker
Password Generator
Hash Generator