セキュリティ企業などが狙われやすいパスワードを公表し注意喚起する中で、「あれだけ危険だって言ったのに……」というようなパスワードが今も現役で使われている。中には、「何でこれなの?」といった不思議なものも。その一部を紹介しよう。
パスワードリスト攻撃によってPCヘの不正ログインが多発する現在、安易なパスワード設定は禁物だ。面倒だがWebサイトやサービスごとに複雑なパスワードを個別に設定し、管理するしかないだろう。
しかし、「え、これはダメでしょ」と思わずツッコミたくなるようなパスワードが“現役”で使われているようだ。しかも、個人用途だけでなく、企業の業務システムにおいてもだ。今回は、「世界と日本のこれはアウトなパスワード集」の一部をお見せしよう。
パナマのセキュリティ対策企業Nord Securityは、世界50カ国で使われているパスワードを分析し、パスワードランキングを毎年発表している。同社は2021年11月17日に「2021年に最も使われたパスワード」のランキング「Top 200 most common passwords」を発表した。
よく使われるということは、誰もが模倣しやすいということだ。つまり、このランキングで示されているパスワードは「危険」なのだ。
以下は、世界でよく使われているパスワードのトップ5だ。
1位 | 123456(1億317万552回) |
---|---|
2位 | 123456789(4602万7530回) |
3位 | 12345(3295万5431回) |
4位 | qwerty(2231万7280回) |
5位 | password(2095万8297回) |
※「回」は使われた回数を示す。
「こんな単純なパスワードが世界中で使われているの?」と思う結果となった。しかしNord Securityは、サイバーインシデントの研究を行う世界各地の研究者と共に調査し、パスワードのデータベースはなんと4TBにも及ぶのだという。
最近では「○文字以上で、大文字小文字アルファベットと数字、記号の組み合わせが必須」とパスワード条件を細かく指定するWebサイトやサービスも増え、中には二段階認証や生体認証が必要なものもある。そして、そうしたルールを課さず、無防備なパスワードを許す企業システムも存在する。本ランキングは、それらを含めたものだ。
そして、6位以降は「12345678」「111111」「123123」「1234567890」「1234567」と、驚きの結果が続く。Nord Securityによれば、これらのパスワードはクラックするのに1秒もかからないそうだ。
同社のWebサイトでは国別ランキングも公開されている。日本のランキングを見ると、1位は「password」、2位以降は「12356」「123456789」「12345678」「1qa2wsx」と続く。世界ランキングと大きくは変わらないものの、5位の「1qa2wsx」など、ところどころ変わったパスワードがランク入りしている。これは、キーボードの「1」と「2」から下方向の文字キー3つを組み合わせたものだ。
この他にも「sakura」が15位、「takahiro」が21位、「baseba11」が26位、「draemon」が28位と、固有名詞を基にしたパスワードがランキングに入っている。Nord Securityによれば、ローマ字のパスワードはツールによる解析にやや時間がかかるが、それでも「takahiro」「doraemon」も3時間で解析が完了するという。
「takahiro」がどういう意図で使われているのかは疑問だが、自身の名前をパスワードにするユーザーもいるようだ。遠隔からの攻撃ではユーザー名を推測してパスワードを破ることは難しいが、身近にパスワードを狙う第三者がいないとも限らない。
よく使われるパスワードのランキングから得られる教訓が多いことが理解いただけたことだろう。もしこのランキングの中にあなたが現在使っているパスワードがあるのなら、早急に変更することをおすすめしたい。
上司X: 「世界でよく使われているパスワード」が発表された、という話だよ。
ブラックピット: まさか、いまだに「password」を使う人はさすがにいないでしょうが……。
上司X: 調査によるといるらしい。まあ調査した会社が言うように、非アクティブなアカウントのパスワードや、やむを得ずそのようなパスワードを使っている場合もありそうだけどな。
ブラックピット: 日本のランキングだと人名もチラホラ見られます。ちょっとどうかと思いますけどね。魔が差す同僚がいないとも限らないですし。
上司X: なぜそんな目で俺を見るんだ! それはともかく、使い回しも言語道断だぞ。一度漏れたら全滅だ。
ブラックピット: これだけあちこちでパスワードを求められたら、使い回したくなるのも仕方ないと思うんですけどね。
上司X: キミみたいな人に向けてかどうかは知らんが、セキュリティ対策企業の幾つかは「ヒントシート」の利用を推奨しているようだ。アカウントごとにパスワードをメモしておくというベタな方法ではあるのだけれど、直接パスワードを書くのではなくて「ヒント」を書くわけだ。
ブラックピット: なーるほど。例えばパスワードが「tendon1103」だったら、「好物と誕生日」のような感じですかね。ちなみに僕は天丼が特別好きというわけではないですし、誕生日も11月3日ではありませんよ!
上司X: 分かってるよ。ヒントシートってのは、まあそんなものだ。もちろん、すぐに推測されるようなヒントはアウトだし、その辺にヒントをペタペタと貼っておくのも厳禁な。自分しか開けないスマホでメモしておくとかしないと。脱パスワードなんてことも言われているけど、いったいいつになるのやら……。
年齢:36歳(独身)
所属:某企業SE(入社6年目)
昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。
年齢:46歳
所属:某企業システム部長(かなりのITベテラン)
中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。