【漏れるぞ危険】日本で一番多く使われているパスワードは何？

【漏れるぞ危険】日本で一番多く使われているパスワードは何？

2022.1.14 Diamond

オンライン 大和 哲：ITライター

2021年、一番多く使われていたパスワード

　パスワード管理ツールを提供するNordPassは、「よく使われるパスワードランキング200」（the top 200 most common passwords）を発表している。

昨年11月に発表された2021年版（最新版）によると、世界でよく使われているパスワードのトップ5は、以下のようになっている。

【全世界でよく使われているパスワードランキングTop5】 　

1位 123456

2位 123456789 　

3位 12345 　

4位 qwerty 　

5位 password

　そして、日本でよく使われているパスワードのトップ5は以下の通りだ。

【日本でよく使われているパスワードランキングTop5】 　

1位 password

2位 123456 　

3位 123456789 　

4位 123456 　

5位 1qaz2wsx 　

というわけで、冒頭のクイズ「2021年、日本で一番多く使われていたパスワードは？」の答えは「password」。

トップ5は世界とほぼ同じラインアップだが、日本ならではのパスワードとしては15位に「sakura」、21位に「takahiro」、25位に「fujitvpass」、28位に「doraemon」などがランクインしている。

　ここに出てくるような分かりやすいパスワードを使い回している人は、即刻パスワードを変更すべきだが、「そんなに単純なものは使っていないよ」という人も、パスワードが漏れる怖さは知っておいたほうがいいだろう。

パスワードはどこから漏れるのか

　そもそも、パスワードはどこから漏れるのか。

私たちがアプリやWebブラウザから利用しているさまざまなネットサービスの奥では、大抵Webの認証サービスが動いている。

認証サービスは、ユーザーが入力したID・パスワードを確認（認証）して、そのアカウントに合った機能を提供する。

　このサービスの脆弱（ぜいじゃく）性を突く攻撃者によって、パスワードを含む情報が流出することがある。

たまに「Webサービスの脆弱性を突かれ情報流出した」というニュースがあるのはそういうことだ。

　ただこうしたケースで、「パスワードそのもの」がWebサービスから流出することは、最近はあまり多くない。

現在ではWebサービス側がパスワードをサーバーに保存しなくなっているからだ。

パスワードの「特徴」だけをとらえて保存し、ユーザーがパスワードを入力してきたときにはその特徴がマッチするかを確認する、という方法が一般的になったので、最近は情報流出した場合も、パスワードのある一部の特徴データしか得ることはできなくなった。

　しかし、単純なパスワードの場合は、パスワードの「特徴」から、平文のパスワードデータを類推することも不可能ではない。

だからユーザーとしては、パスワードをある程度複雑なものにしておくに越したことはない。

また、昔、セキュリティ意識のそれほど高くなかった頃のWebサービスやシステムには、平文でパスワードを格納するケースもあった。

こうしたサーバーを攻撃して、ユーザーのID・パスワードが流出したというケースもある。

漏れたパスワードは、他のサービスで悪用される

　パスワード流出が怖いのは、どこか1カ所でパスワードが流出すると、他のサービス・サイトでも同じパスワードを使ってアカウントに不正アクセスされたり、悪用を試みられたりするケースが後を絶たないからだ。

　悪意の攻撃者はWebサイトからパスワードを盗み出すのに、主に「ブルートフォース攻撃（総当たり攻撃）」「辞書攻撃」「脆弱性攻撃」「リスト型攻撃」といった技術を使う。

　ブルートフォース攻撃とは、例えば3ケタであれば「000」「001」「002〜998」「999」など総当たりで文字・数字などの組み合わせをすべて試してみる方法のことだ。

　辞書攻撃ではこれに加えて「辞書」を使い、単語などの組み合わせを試みる。

そのため、「password」「QWERTY」「Hello」「Summer」「Winter」というような簡単な単語をパスワードにするのはやめた方がいい。

一単語をパスワードにすると、非常に類推しやすくなってしまうからだ。

　脆弱性攻撃とは、システム上の弱点となる入力データなどを使ってデータを出させるという方法。

サービスを提供しているシステムの情報などを取り出すことができることが多いが、前述のように生のパスワードデータはシステムが持っていないことが多い。

　そして、最後のリスト攻撃だが、これは、IDとパスワードの組み合わせのリストを利用し、アクセスしてみるという方法だ。

このリストに、過去に流出したID・パスワードのデータが使われる。 　つまり、アカウント情報（ID・パスワード）流出が確認されているサービスと同じID・パスワードを使い回していると非常に危険だ、ということだ。

過去に流出したユーザーIDとパスワードの一覧は、ダークWebなどを探せば見つけられる。

こうして拾った過去の「ユーザー名・パスワード」のペアで不正ログインを試みられる可能性などは高い。

だから、同じパスワードを複数のWebサイトやサービスで使い回すのは危険だし、パスワード変更を勧める理由の一つでもある。

「売買」 「放流」されるパスワードデータ

　ところで、攻撃者がリスト型攻撃に使うパスワードデータだが、このデータは、アンダーグラウンドで大量に売り買いされたり、最近では「トレント」(ファイルを複数のパソコンなどに分散して流通させる仕組み)上で放流、つまり無償で流されたりしていることもある。

　2019年には「Collection #1」と呼ばれるおよそ90MB弱のデータが、クラウドストレージ上で公開された。

メールアドレス、パスワード組み合わせ件数にして約11億6千万件という莫大な量だ。

Collectionシリーズは＃1の他にも「Collection #2〜5」「Anti-Public」「Zabagur #1」などまであり、全巻すべて合わせると、およそ1TBもの巨大データになるという。

　このデータ自体は、作者の販売方法に問題があり、販売サイトを作る先々でサイトがつぶされること、そして、作者本人がウクライナ警察に逮捕されたことにより、販売自体はうまくいかなかったようだが、データは現在もアンダーグラウンドで流通し、使い回され続けている。

自分のアカウントが危険にさらされていないか、確認しよう

　この「Collectionシリーズ」などで取り扱われているアカウントデータは、現在さまざまなツールに活用されている。

たとえば有名なところでは、「Have I Been Pwned: Check if your email has been compromised in a data breach」（以下、Have I Been Pwned）というサービスがある。

　Have I Been Pwnedは、自分のデータが漏洩していないかどうかをチェックできるサイト。

このデータベースには、2022年1月現在で約117億件の漏洩（ろうえい）アカウント情報が蓄積されている。

Have I Been Pwned にメールアドレスを入力すると、流出データにそのメールアドレスの情報が含まれているかを表示してくれるほか、漏洩データにメールアドレス、もしくはメールアドレス・パスワードのペアがあった場合「もしかすると、パスワード漏洩したかもしれないインシデント」として表示してくれる。

　ただし、結果欄をよく読むと(英語)、漏洩したのは“email addresses, names and salted password hashes.”(メールアドレスと氏名、パスワードの特徴)というように、実際には、パスワードが実質的にはそのままでは使えない状態で漏れていても、「漏れている」と表示される点は注意したい。

　結果を見て、自分のメールアドレスが何かのインシデントに巻き込まれたことがあったら、そのサービスと同じパスワードを使い回すことは絶対に避けるべきだ。

もちろん、特徴しか漏れていないパスワードからパスワードを類推するのは容易ではないが、ヒントがない、というわけではない。

もし、変えていない人は、今からでもパスワードを変えておくべきだろう。