情報通信会社「ソリトンシステムズ」が、日本人ユーザーによるとみられるパスワードの漏洩実態を調査したところ、最も多かったパスワードは「123456」、次いで「password」、そして「123123」であることが分かりました。同社は「推測されやすいパスワードはセキュリティ上安全ではないため、簡単なパスワードを設定できないようにするべきだ」と再度呼びかけています。
確認されたパスワードで多かったものは?
情報通信会社「ソリトンシステムズ」は、今年1月から8月に発生したサイバー攻撃によりネット上に個人情報が流出した276件の情報漏洩事件を調査・分析しました。この調査では、国内事業者の29サイトと海外事業者の247サイトから漏洩したデータのうち、メールアドレスの末尾が「.JP」のものを日本人のデータとして集計しました。
確認されたパスワードの種類は216万種に及び、最も多かったのは「123456」でした。また、4位の「qwerty」や8位の「1q2w3e4r」など、キーボードの配列を使ったパスワードも目立ちました。
さらに、5位の「111111」、6位の「000000」、9位の「xxxxxx」といった単純な文字の繰り返しも上位にランクインしています。前回の令和3年の調査でも1位は「123456」、2位は「password」で、今回と変わらない結果でしたが、前回3位だった「asdfghjk」は今回は17位に下がりました。
担当者は、
単純で推測可能なパスワードを使っている人が今でも多い。AI(人工知能)の進化など攻撃技術は高度化しており、誰でも推測できるパスワードは機能として安全ではない
と警鐘を鳴らしています。
また、ウェブサービス提供事業者に対して、不正ログイン防止のため、ユーザーが単純なパスワードを設定できないようにすることや、多要素認証を導入するよう呼びかけています。
なぜパスワードは漏洩するのか?漏洩したらどうしたら良いかチャットGPTさんに聞いてみた
なぜパスワードは漏洩するのですか?漏洩するよくあるパターン、漏洩したらどうしたら良いかアドバイスはありますか?
パスワードが漏洩する原因や対策として、次のようなよくあるパターンとアドバイスが挙げられます。
パスワードが漏洩するよくあるパターン
- データベースの不正アクセス
攻撃者が企業のサーバーに侵入し、ユーザーのパスワード情報を含むデータベースを盗むケースです。特に、パスワードが暗号化されずに保存されている場合、漏洩のリスクが高まります。 - フィッシング詐欺
メールや偽サイトを使ってユーザーのパスワードを盗む手口です。偽のログインページを通じてパスワードを入力させるなどの手法で情報が漏洩することがあります。 - 使い回しパスワード
複数のサイトで同じパスワードを使い回すことで、1つのサイトで漏洩した情報が他のサイトへの不正アクセスに利用される「リスト型攻撃」のリスクが高まります。 - 弱いパスワードの使用
「123456」や「password」など、簡単に推測できるパスワードを使っていると、ブルートフォース攻撃(総当たり攻撃)によって短時間で突破されやすくなります。
パスワードが漏洩した場合の対応策
- パスワードの変更
パスワードが漏洩した疑いがある場合、すぐにそのパスワードを使用しているすべてのサイトでパスワードを変更します。また、使い回しを避け、各サイトで異なるパスワードを設定しましょう。 - 多要素認証(MFA)の導入
多要素認証を利用すると、パスワードが漏洩しても、追加の認証が必要になるため、不正アクセスのリスクを軽減できます。 - パスワード管理ツールの活用
複雑でユニークなパスワードを複数のサイトで管理するのは大変です。パスワード管理ツールを使うことで、強力なパスワードを安全に保存し、使い回しを防ぐことができます。 - フィッシング詐欺に警戒する
不審なメールやリンクをクリックしないよう注意し、公式サイトや公式アプリからログインする習慣をつけましょう。 - 漏洩確認サイトの利用
“Have I Been Pwned” などのサイトで、自分のメールアドレスがデータ漏洩の対象になっていないかを確認できます。万が一、漏洩が確認された場合は、すぐに関連するパスワードを変更しましょう。
パスワードの漏洩リスクを減らすためには、強力でユニークなパスワードを利用し、定期的な変更や多要素認証の導入が効果的です。
専門家の反応は?
この種の調査結果が毎年海外でも発表されますが、日本も海外も同様に”123456″や”password”が上位にランクインされます。そしてこういった結果が出る度に「こんな簡単なパスワードを設定しているなんて信じられない」というコメントが並びます。
背景には「実は私も簡単なパスワードを利用しているけれど、大丈夫でしょう」という「自分は大丈夫」という根拠の無い自信があるのではないかと推測されます。
しかし、こういった良く使われるパスワードリストはダークウェブ上に流出しており、簡単に突破されます。
最近のパスワードの安全性については最低でも8文字は必須、15文字以上が推奨とされているので、こういったニュースを見たら「感想」だけでなく、実際にパスワードを変更する行動に繋げることを推奨します。
また、可能な場合はパスワードは破られるものと考え、多要素認証もセットするようにしましょう。
以前から上位20種は固定的でさほど変わりはなく、記事の通りです。「12345678」や「password」のように覚えやすい文字列とともに、現在でも入力装置はキーボード入力が少なくなく、そのキーボードの配列に依存したパスワードが上位を占めています。入力装置が変われば変化することでしょう。「asdfghjk」はスマホ入力が多数となったことによりランクを下げたのは納得です。ただ一概に記事に上げられている安易なパスワードが大多数を占めているということを鵜呑みにすることはできません。最近では必ずしも認証が必要とは思えない、つまり個人情報の流出や重要なデータを扱わないサービスにおいてもパスワードが要求されます。そのようなパスワードにおいて安易なパスワードをつけることも多いでしょう。利用者にとって機密性の高い重要なサービスに対して必ずしも安易なパスワードをつける傾向が多いとは言い難いのです。
米国NISTが出している最新のガイドラインでは、パスワードで重要なのは「長さ」となっており、15文字以上を推奨しています。ただ、手入力や暗記に頼っていてはこれは難しい注文であり、単純なパスワードを使い回しがちです。
理想はアカウントごとに異なる非常に長いパスワードを設定することで、これはパスワード管理ソフトを使えば簡単に実現できます。アップルは9月から純正の「Password」アプリの提供を始めました。
将来的にはパスワードを置き換えるパスキーのような仕組みが普及していくと思われるものの、当面はブラウザの機能やアプリなどを併用することになりそうです。
サイバー犯罪についてよく講演することがあったのですが、そのときに「簡単安全で忘れないパスワードの作り方」について話をすることがありました。
パスワードは長ければ長いほど安全性は高まりますが、しかし逆に覚えにくいものになります。そんな矛盾を解決する良い方法があります。
だれでも(口ずさむ歌の一節のように)よく覚えているフレーズがあると思います。たとえば、「夕焼け小焼けで日が暮れて、山のお寺の鐘が鳴る」という歌詞。これをローマ字に直せば「YuyakeKoyakedeHigaKurete, YamanoOteranoKanegaNaru」となりますね。この大文字の部分を抜き出して、これにさらに誕生日などの数字を組み合わせると、たとえば2000年1月1日生まれなら「YKHKYOKN#20000101」となります。何桁になってもこの文字列じたいには規則性はありませんが、すぐに思い出せますね。
この類の漏洩しやすい=容易に使われている高リスクなパスワードの話は、数年前までは海外のセキュリティ関連会社でも発表されており、例えば米国のアプリ会社SplashDataが発表していた結果を見ると、今回の日本国内での調査結果と同じもの、そして使用環境を受けての違ったものを確認できます。
数字の羅列「123456」やキーボードの並びをそのままなぞった「qwerty」、さらにはパスワードそのものの「password」は国内外を問わずですが、海外のものでは管理者を示す「admin」、よく知られている単語として「princess」「welcome」「dragon」などが上位に入っていました。またかつて某大手ソフト企業でユーザー情報の流出があった時は、その商品名などが入ることもありました。日本の場合は言葉が全角でパスワードとしては使われない・使いにくいため、時節ネタが出てくることもないのでしょう。
ネットの反応は?
パスワードって、面倒ですよね。同じパスワードは危険ということで、何個か複雑なのを用意して、設定しなくちゃいけないですし。サイトの数が増えると、だんだん自分でもわからなくなってきて。だからといって、記憶させておくのばかりだと不安。 パスワードっていうものの在り方について、いろいろ思うことがあります。
この手の犯罪の影響のせいで、どんどんパスワード管理が面倒な時代になっていきますね。 パスワードの不正利用など、我々の生活が脅かされ、手間も増やされてるのだから、犯罪者共にも割に合わないと思わせるような厳罰化をすべきでは?
編集後記
どうしても記憶に頼ってしまいがちですが、年取ればとるほど忘れがちになるので自分にあうツールを見つけないとですね。
コメント