米国における過去最大の大規模データ漏洩事件トップ10【2026年版】

1. はじめに：なぜ米国組織にとってデータ漏洩はリスクとなるのか？#

米国におけるデータ漏洩は過去数年間で増加しており、組織、個人、政府機関にとって重要な課題となっています。報告されたインシデントの数は2024年だけで3,158件に達し、13億5000万人以上に影響を及ぼしました。2021年に記録された漏洩件数がわずか1,862件であったことを考慮すると、これは憂慮すべき増加です。金融サービス、ヘルスケア、プロフェッショナルサービスなどの業界は特に大きな打撃を受けており、サイバー犯罪者にとっての脆弱性と標的としての魅力が浮き彫りになっています。とりわけ、ヘルスケア分野での漏洩は著しく深刻かつ長期にわたることが実証されています。2023年には、驚くべきことに725件のヘルスケア関連のデータ漏洩により1億3300万件以上の記録が流出し、最大規模のインシデント単独でも1,130万人に影響を及ぼしました。2024年4月までに発生した54件のヘルスケアデータ漏洩だけでも、1,500万人以上の患者に影響を及ぼしました。

本ブログでは、米国史上最も重大な10のデータ漏洩事件を分析し、それらがどのように発生したのか、その影響、そして将来の脅威から身を守るために組織が学ぶべき教訓を明らかにします。

2. なぜ米国はデータ漏洩の標的として魅力的なのか？#

世界最大の経済規模を誇る米国は、いくつかの明確な条件が揃っているため、サイバー犯罪者にとって魅力的な標的となっています。

2.1 最大の経済規模とデータ量#

米国は世界最大の経済大国であり、テクノロジー、金融、ヘルスケア、小売などのセクターの世界的拠点となっています。これらの各セクターは、膨大な量の機密データを生成し保存しています。このような巨大なデータリポジトリは、金銭的利益、価値ある知的財産、または個人情報の盗難や詐欺目的の個人情報を求める攻撃者にとって、利益の大きい標的となります。

2.2 大企業と政府機関の存在#

世界的な経済大国として、米国にはフォーチュン500企業、多国籍企業、そしてインフラストラクチャや国家安全保障を担う重要な政府機関が多数存在しています。これらの組織は、機密性の高い顧客データ、従業員データ、業務データを格納した大規模なデータベースを管理しています。これらの情報の重要性は、漏洩の可能性と深刻度の両方を高め、サイバーインシデントによって引き起こされる潜在的な被害を増幅させます。

2.3 断片的な規制環境#

米国の各州や業界にまたがる断片的な規制環境は、サイバーセキュリティの基準に一貫性を欠く原因となり、データ保護と執行にギャップが生じる可能性があります。厳格なサイバーセキュリティ規制が統一されている国と比較して、この継ぎ接ぎのアプローチはサイバー犯罪者のハードルを下げ、脆弱性を特定して悪用することを容易にしています。

総合的に見て、これらの要因が米国をサイバー脅威に対して特に脆弱かつ魅力的な環境にしており、プロアクティブなサイバーセキュリティ対策の必要性を生み出しています。

3. 米国における過去最大の大規模データ漏洩事件#

以下に、米国における過去最大規模のデータ漏洩のリストを示します。データ漏洩は、影響を受けたアカウント数の降順で並べられています。

3.1 Yahooのデータ漏洩（2013年〜2016年）#

2013年から2016年にかけて発生した一連のサイバー攻撃において、Yahooは現在でも米国史上最大規模のデータ漏洩に見舞われ、約30億のユーザーアカウントが侵害されました。盗まれた情報には、氏名、メールアドレス、電話番号、生年月日、ハッシュ化されたパスワード（安全ではないとされるMD5を使用）、および暗号化されていないセキュリティの質問と回答が含まれていました。この漏洩は国家の支援を受けた攻撃者によるものと関連付けられており、ロシアの工作員への疑いが指摘されています。

その影響は甚大でした。Yahooの評判は深刻なダメージを受け、その直接的な結果として、2017年のVerizonによる買収額は3億5000万米ドル減額されました。特にパスワードのハッシュ化に脆弱なアルゴリズムを使用していたことや、重要なセキュリティデータを適切に暗号化していなかったことなど、Yahooの公表の遅れと時代遅れのセキュリティ慣行に対して批判が集中しました。

予防策：

• パスワードなどの機密情報には、bcryptなどのより強力な暗号化標準を使用する
• 漏洩を迅速に通知するプロトコルを確立する
• 認証情報の盗難による影響を軽減するために、多要素認証（パスキーなど）を導入する

3.2 National Public Data（NPD）のデータ漏洩（2024年）#

2024年3月、大手データブローカーであるNational Public Data（NPD）は、米国史上最大級のデータ漏洩に見舞われ、約13億人分の機密情報が流出しました。設定ミスのあるデータベースにより、氏名、住所、生年月日、社会保障番号、電話番号、メールアドレスなど、非常に詳細な個人記録への不正アクセスが可能になっていました。この漏洩により、全体で約29億件のデータ記録が侵害される結果となりました。

流出したデータは個人情報の盗難や詐欺の深刻なリスクをもたらし、数ヶ月以内にNPDの事業は崩壊しました。調査の結果、同社には適切なデータベースのアクセス制御や定期的な脆弱性評価など、基本的なセキュリティ対策が欠如していたことが明らかになりました。この事件は、十分なセキュリティ義務を負わずに大量の個人情報を扱うデータブローカーの規制と監視に関する社会的議論を再燃させました。

予防策：

• 機密データベースに対して、厳格なアクセス制御と認証メカニズムを実装する
• 脆弱性や設定ミスがないか、システムを定期的に監査・テストする
• 漏洩リスクを最小限に抑えるため、保存中および転送中の個人情報を暗号化する

3.3 Real Estate Wealth Networkのデータ漏洩（2023年）#

2023年9月、不動産データアグリゲーターのReal Estate Wealth Network（REWN）は、保護されていないデータベースが認証なしでインターネットに公開された状態になっていたため、大規模なデータ漏洩を引き起こしました。氏名、自宅住所、所有権記録、電話番号、機密性の高い不動産関連の詳細など、約15億件のデータ記録にアクセスされ、著名な公人や有名人の情報も含まれていました。

この漏洩は、著名人の不動産保有状況が流出したためメディアの大きな注目を集め、個人の安全性や標的型攻撃に対する懸念を引き起こしました。専門家は、データベース認証、暗号化、アクセスログの取得など、基本的なサイバーセキュリティプロトコルを実装していなかったとしてREWNを批判しました。

予防策：

• 公開情報から取得したデータを含むデータベースであっても、すべてのデータベースに認証を要求する
• 定期的なペネトレーションテストとセキュリティ監査を実施する
• 設定ミスを早期に検出するため、公開された資産を継続的に監視する

3.4 Facebookのデータ漏洩（2019年/2021年）#

2019年、サイバー犯罪者はFacebookの連絡先インポート機能を悪用し、106か国にわたる約5億3300万人のユーザーの個人情報をスクレイピングしました。Facebookはその年の後半に大量のデータスクレイピングを制限しましたが、収集されたデータセットは2021年4月にハッキングフォーラムで無料アクセス可能な状態で公開され、再び表面化しました。

攻撃者が直接社内システムにアクセスする従来のデータ漏洩とは異なり、このインシデントは利用可能なプラットフォーム機能を使用した大規模な自動データ収集を伴うものでした。流出したデータセットには氏名、電話番号、メールアドレス、位置情報が含まれており、フィッシング、SIMスワップ攻撃、およびその他の形態の個人情報悪用の深刻なリスクを引き起こしました。Facebookは、スクレイピングされたデータの影響を過小評価したことや、情報開示への対応が遅れたことで広範な批判に直面しました。

予防策：

• より厳格なAPIおよび機能へのアクセス制御を通じて、データの露出を制限する
• 自動検出ツールを使用して、異常なスクレイピング行動を監視する
• 大規模なデータスクレイピングが発生した場合、プロアクティブにユーザーおよび規制当局に通知する

3.5 LinkedInのデータ漏洩（2021年）#

2021年6月、LinkedInで大規模なデータスクレイピング事件が発生し、約7億人（当時のユーザーベースの約92%）のユーザー情報が流出しました。攻撃者はLinkedInのAPIを悪用して、氏名、メールアドレス、電話番号、位置情報データ、職歴などの公開プロフィール情報を体系的に収集しました。スクレイピングされたデータセットは、後にダークウェブのフォーラムで販売されました。

LinkedInは、非公開データは侵害されておらず、情報は公開されているものであったと主張しましたが、サイバーセキュリティの専門家は、データの量と集約によって標的型フィッシング、ソーシャルエンジニアリング、個人情報の盗難などの深刻なリスクが生じることを強調しました。このインシデントは、「公開」データのスクレイピングと、大規模に集約された場合の深刻なプライバシー侵害との間の境界線が曖昧であることを浮き彫りにしました。

予防策：

• APIにレート制限やCAPTCHA保護を実装し、自動スクレイピングを阻止する
• 異常検出システムを強化し、大規模なデータ収集を特定する
• プロフィール上で一般公開される情報を制限することについてユーザーを教育する

3.6 Exactisのデータ漏洩（2018年）#

2018年6月、米国を拠点とするデータアグリゲーションおよびマーケティング企業のExactisは、約3億4000万件の個人および企業記録を含むデータベースを誤って公開状態にしました。この漏洩は、データベースがパスワード保護なしでオンラインでアクセス可能になっていることを発見したセキュリティ研究者によって見つかりました。流出したデータには、氏名、自宅住所、電話番号、メールアドレスに加えて、関心事、習慣、財務情報などの非常に詳細な個人属性が含まれていました。

データベースが保護される前に悪意のある人物がデータにアクセスしたという確認はありませんでしたが、漏洩した情報の広範さと詳細さは、個人情報の盗難、フィッシング、その他の標的型攻撃に対する高いリスクをもたらしました。このインシデントは、データブローカーの大部分が規制されていない慣行に注意を引き付け、米国におけるより強力なデータプライバシー法の制定を求める声に拍車をかけました。

予防策：

• データベースへのアクセスには常に認証を要求する
• 収集・保存する機密個人情報の量を制限する
• 定期的な監査とセキュリティレビューを実施し、適切なデータ保護対策が講じられていることを確認する

3.7 First American Financial Corporationのデータ漏洩（2019年）#

2019年5月、米国の権原保険および決済サービスの大手プロバイダーの1つであるFirst American Financial Corporationは、ウェブサイトの脆弱性により約8億8500万件の機密記録を流出させました。不適切なアクセス制御により、ドキュメントの有効なURLリンクを持つ人であれば誰でも、認証なしにURLの数字を変更するだけで、無関係な他のドキュメントを閲覧することができました。

流出したドキュメントには、社会保障番号、銀行口座の詳細、住宅ローン記録、納税記録などの重要な財務情報や個人情報が含まれており、顧客を詐欺や個人情報盗難の深刻なリスクにさらしました。この漏洩は、不動産取引記録の機密性が非常に高いことを考えると特に憂慮すべきものであり、金融セクター全体におけるウェブアプリケーションのセキュリティ慣行の重大な欠陥を浮き彫りにしました。

予防策：

• ドキュメントリポジトリに対する堅牢なアクセス制御と認証チェックを実装する
• アプリケーションを一般公開する前に、徹底的なセキュリティテスト（ペネトレーションテストなど）を実施する
• アプリケーションのアクセスパターンを監視・監査し、異常な行動を早期に検出する

3.8 Ticketmasterのデータ漏洩（2024年）#

2024年5月、世界最大のチケッティング会社の1つであるTicketmasterは、世界中の約5億6000万人の顧客（米国に拠点を置くかなりの割合を含む）に影響を与える大規模なデータ漏洩に見舞われました。報道によると、攻撃者は侵害されたサードパーティのクラウドストレージ環境を介して不正アクセスを獲得し、顧客の氏名、自宅やメールアドレス、電話番号、そして場合によっては一部の決済カード情報を流出させました。

この漏洩は、特に金融取引を処理する大規模な消費者プラットフォームにとって、サードパーティベンダーのリスクとクラウドセキュリティに関する懸念を再燃させました。また、PCI DSSやGDPRなどの最新のデータ保護基準に対する同社のコンプライアンスにも疑問を投げかけました。インシデントの後、Ticketmasterは複数の集団訴訟と規制当局の調査に直面しました。

予防策：

• ベンダーリスク管理を強化し、サードパーティプロバイダーを定期的に監査する
• 保存されているすべての顧客情報、特に決済関連のデータを暗号化する
• クラウド環境にゼロトラストアクセスモデルを実装し、攻撃対象領域を制限する

3.9 MySpaceのデータ漏洩（2016年）#

2016年5月、「Peace」として知られるハッカーが、約4億2700万アカウントで構成されるMySpaceの大量のユーザーデータをダークウェブ上で販売するためにリストアップしました。このデータは2013年以前に発生した漏洩に由来するものと思われますが、数年後まで発見されませんでした。流出した記録には、ユーザー名、メールアドレス、およびソルトなしのSHA-1ハッシュで弱く保護されていたパスワードが含まれており、非常にクラックされやすい状態でした。

漏洩が表面化した時点でMySpaceの人気はすでに低下していましたが、多くのユーザーが複数のプラットフォーム間でパスワードを使い回していたため、依然としてリスクをもたらしました。その結果、MySpaceの漏洩から得た認証情報は、他のサービスに対するクレデンシャルスタッフィング攻撃に使用される可能性がありました。この事件は、強力なパスワードハッシュ化の実践とタイムリーな漏洩検出の重要性を強調しました。

予防策：

• bcryptやArgon2などの最新で安全なパスワードハッシュアルゴリズムを使用する
• 定期的に暗号化の慣行を見直し、時代遅れのアルゴリズムから移行する
• 認証情報の漏洩を監視し、漏洩後は速やかにパスワードをリセットするようユーザーに警告する

3.10 JPMorgan Chaseのデータ漏洩（2014年）#

2014年、JPMorgan Chaseは、米国の金融セクターを襲った史上最大級の漏洩事件を公表し、約7600万世帯と700万の中小企業に影響を与えました。攻撃者は侵害された従業員アカウントを通じてアクセス権を獲得し、銀行のネットワークインフラストラクチャの弱点を悪用しました。口座番号、パスワード、社会保障番号などの財務情報は盗まれませんでしたが、攻撃者は氏名、住所、メールアドレス、電話番号を入手しました。

この漏洩は、米国経済における同行の重要な役割のため大きな注目を集め、金融サービス業界全体にサイバーセキュリティの準備状況に関する警鐘を鳴らしました。これにより規制当局による監視が強化され、多くの金融機関が、特に関係者のアカウント保護やネットワークのセグメンテーションに関して、自社のサイバーセキュリティフレームワークを再評価することとなりました。

予防策：

• すべての内部および外部アカウントに多要素認証（MFA）を適用する
• 侵害が発生した場合に横方向の移動を制限するため、堅牢なネットワークセグメンテーションを実装する
• 従業員のアクセス管理に関するセキュリティプロトコルを定期的にテストし、更新する

4. 米国のデータ漏洩の傾向#

2025年までに米国で発生した最大規模のデータ漏洩を調査すると、これらの漏洩に共通していくつかの傾向が見られます。

4.1 基本的な設定ミスは高度なサイバー攻撃と同じくらい問題#

最大規模のデータ漏洩の多くに共通しているのは、それらが極めて高度な攻撃の結果ではなく、基本的な設定ミスや見過ごされた脆弱性によるものだったということです。パスワード保護のない公開データベース、脆弱なアクセス制御、適切に保護されていないAPIにより、攻撃者は容易に侵入を繰り返しました。National Public DataやReal Estate Wealth Networkの漏洩などのケースでは、単に保護されていないシステムがないかインターネットをスキャンするだけで、何十億もの記録にアクセスすることができました。これは、アクセス制御、適切な暗号化、システムの堅牢化といったサイバーセキュリティの基本的な衛生管理に投資することで、これらのインシデントの多くを防げたことを示しています。

4.2 個人情報が主な標的#

もう1つの注目すべき傾向は、機密性の高い個人情報が一貫して標的にされ、流出していることです。事実上すべての漏洩において、データセットには氏名、住所、生年月日、メールアドレス、電話番号が含まれており、最も被害の大きいケースでは社会保障番号も含まれていました。流出した個人情報の幅広さは、個人情報の盗難、フィッシング攻撃、金融詐欺のリスクを劇的に高めます。例えば、強力なパスワードポリシーとアクセス制御を実装することは、非営利団体における詐欺防止にとって極めて重要です。金融やヘルスケアなどの規制対象業界以外の組織であっても、あらゆる個人データの収集を最高水準のセキュリティで扱う必要があります。なぜなら、攻撃者にとっての個人情報の価値は一貫して高いままだからです。

4.3 脆弱なパスワード保護と暗号化#

不適切なパスワード管理と時代遅れの暗号化による保護が、いくつかの漏洩の結果をさらに悪化させました。YahooやMySpaceなどのインシデントでは、パスワードがMD5やSHA-1のような脆弱なハッシュアルゴリズムを使用して保存されていたり、ソルトが不十分であったため、盗まれた後に容易にクラック可能となっていました。これにより、攻撃者がクレデンシャルスタッフィングを通じて他のサービスでパスワードを再利用できるようになり、影響が大幅に拡大しました。パスワードが盗まれた場合でも、堅牢な暗号化手法と最新の暗号化標準を使用することで、ユーザーや企業への二次的なリスクを大幅に制限することができます。

4.4 APIの悪用と大規模なデータスクレイピング#

漏洩手口の重要な進化は、従来のハッキング技術ではなく、APIの悪用とデータスクレイピングへの依存度が高まっていることです。LinkedInやFacebookなどの漏洩は、攻撃者が不適切に保護されたAPIや公開機能を悪用して、大量のユーザーデータを収集していることを示しました。企業はデータが公開されていることを指摘してスクレイピングの深刻さを過小評価しがちですが、スクレイピングされた情報を集約・組み合わせることで、強力で危険なデータベースが作成される可能性があります。この傾向は、組織がすべてのAPIと公開インターフェースに対して厳格なレート制限、監視、および認証制御を適用し、バックエンドシステムと同じ厳密さで扱う必要があることを強調しています。

5. 結論#

米国史上最大規模のデータ漏洩は、明確で一貫したパターンを示しています。すなわち、ほとんどのインシデントは予防可能であったということです。多くの漏洩は、高度なサイバー攻撃の結果というよりも、保護されていないデータベース、時代遅れの暗号化標準、不十分なAPI保護、個人情報の価値の過小評価といった基本的なエラーに起因していました。これらの失敗により、攻撃者は比較的容易に大量の機密データにアクセスし、個人を個人情報盗難、金融詐欺、標的型攻撃などのリスクにさらしました。

あらゆる規模・業界の組織にとって、サイバーセキュリティの基本をおろそかにしてはならないという教訓は明らかです。個人データを保護するには、強力な技術的対策だけでなく、システム構成、暗号化標準、ベンダーリスク管理、漏洩検出に対するプロアクティブなアプローチも必要です。収集されるデータの量が指数関数的に増加するにつれて、それを保護する責任も増大します。

Corbadoについて

Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのPasskey Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト：Corbado Observeは passkeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectは analytics内蔵のmanaged passkeyを追加します（既存のIDPと併用）。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています（passkey有効化率+80%）。 Passkeyエキスパートに相談する →

よくある質問#

Yahooの2013年から2016年にかけてのデータ漏洩において、なぜそのセキュリティ対策が不十分だとみなされたのですか？#

Yahooはパスワードを暗号学的に脆弱なアルゴリズムであるMD5を使用して保存し、セキュリティの質問と回答は完全に暗号化せずに保存していました。この漏洩は、ロシアの工作員とみられる国家支援型攻撃者によるものとされています。Yahooは、漏洩の数年後にあたる2016年まで全容を公表しなかったため、対応の遅れに対して厳しい批判を浴びました。

National Public Dataのデータ漏洩では、なぜ高度なサイバー攻撃を受けることなく何十億もの記録が流出したのですか？#

2024年3月、National Public Dataにおけるデータベースの設定ミスにより、認証なしで不正アクセスが可能になっていました。同社には、適切なデータベースのアクセス制御や定期的な脆弱性評価など、基本的なセキュリティ対策が欠如していました。この漏洩により約29億件のデータ記録が侵害され、数ヶ月以内にNPDの事業崩壊に直接的につながりました。

スクレイピングされたデータが技術的に公開情報である場合でも、APIスクレイピングが重大なデータ漏洩リスクとみなされるのはなぜですか？#

攻撃者は、セキュリティが不十分なAPIを悪用して大規模にデータを収集します。これは、LinkedInの漏洩（7億人のユーザー、当時のユーザーベースの約92%）やFacebookの漏洩（5億3300万人のユーザー）で実証されています。個別に公開されているデータを集約することで詳細な個人プロファイルが作成され、フィッシング、SIMスワップ、大規模な個人情報盗難が可能になります。

パスワードハッシュ化の失敗は、YahooやMySpaceのデータ漏洩による二次被害をどのように悪化させましたか？#

YahooはMD5ハッシュ化を、MySpaceはソルトなしのSHA-1を使用しており、どちらも暗号学的に脆弱な基準でした。これらの方法により、盗まれた認証情報は容易にクラック可能となり、攻撃者はユーザーがパスワードを使い回している他のプラットフォームでクレデンシャルスタッフィング攻撃を行うことができました。bcryptやArgon2などの最新のアルゴリズムを使用していれば、このような二次的リスクを大幅に軽減できたはずです。

米国の断片的な規制環境は、組織のデータ漏洩に対する脆弱性をどのように高めていますか？#

米国の州や業界レベルでの規制が入り組んでいるため、サイバーセキュリティの基準に一貫性がなく、データ保護と執行にギャップが生じています。厳格な規制が統一されている国と比較して、このアプローチはサイバー犯罪者が脆弱性を特定し悪用するハードルを下げています。NPDやExactisのようなデータブローカーは、何十億もの機密性の高い個人記録を保持しているにもかかわらず、最小限のセキュリティ義務のみで運営されていました。