「123456」は7年連続トップ

米国のセキュリティ会社SplashDataは2019年12月18日、2019年において利用率が高く、危険なパスワード群を発表した。それによると、もっとも多くの人が使用している、見方を変えればもっとも危険なパスワードは「123456」だった。次いで「123456789」「qwerty」が続いている(【What do “password” and President Trump have in common? Both lost ranking on SplashData’s Annual Worst Passwords List】)。

SplashDataでは毎年、ハッキングなどを受けてインターネット上に公開されてしまった数多くのデータファイル(パスワードなど)を収集し、その統計データを基に汎用性の高い、つまりは多くの人が共通して使っている、リスクの高いパスワードのランキングを発表している。今回発表された2019年分では500万件以上の事例から精査が行われている(アダルトサイトから漏えいしたパスワードは今件精査には使われていない)。それによると前年2018年分に続き2019年分においても、「123456」が最上位につくこととなった。次いで「123456789」が続いている。以下上位25位までを使われている順位で列挙すると次の通りとなる。

2013年分では、それまでトップについていた「password」から「123456」への交代劇が最大のハイライトであった。これはアメリカ合衆国のAdobe Systemによるユーザー情報流出問題による影響が大きい。今回年もその立ち位置は継続中で、これで7年連続となっている。他方、SplashDataがパスワードに関するランキングの精査内容の公開を始めた2011年以降、「password」と「123456」が上位2位に位置し続けていたが、2019年分では「password」は第4位にまで後退する形となった。代わりに2018年分では第3位だった「23456789」が順位を1つ上げて第2位についている。

一方で「photoshop」をはじめとするアドビ社製品に直接係わりのある固有名詞は2014年以降上位陣から抜けており、「123456」がアドビ社製品に係わるものの偏り的な傾向では無く、汎用的な動きであることも見て取れる。

容易に想像が付く文字列が多数が使われている状況もこれまで通り。例えばキーボードの並びでそのまま文字を打ち込んでいく数字の羅列や「qwerty」(キーボードの配列で左上の列の左端から一文字ずつ打つとこの並びになる)が含まれる「qwerty123」、左上のキーを一つずつジグザグで打ち込むと出てくる「1q2w3e4r」、シンプルで誰もが知っている言い回しや単語、それらの組み合わせ、例えば「dragon」などが名を連ねている。「これなら分かりやすいし、他に使っている人もいないだろう」との目論見なのかもしれない。

アクセスの際に使われることが多いため、ログインと関連性が深い言葉が多用されているのも目に留まる。「admin」などが好例。さらに「『password』ならパスワードそのものなので覚えやすいが、ありきたりなのでマズいから『1』を追加すれば問題ない(password1)」「数字の羅列だと単純すぎるから、逆から入力すればいいだろう(654321)」との安易な発想を多くの人がしており、結果的にセキュリティの低下につながっている実情も確認できる。

他方、2018年分ではトップ25に入っていたアメリカ合衆国大統領Donald Trump氏からの連想と思われる「donald」は、2019年分では顔を見せていない。

なお今回の統計結果に際し、トップの「123456」は全体(流出したパスワード)の3％ほどが、上位25位で全体のほぼ10％が相当するとのことである。

セキュリティを強化するために

今回の結果に関してSplashDataではセキュリティ向上のヒントとして「複数の文字種類を組み合わせた12文字以上のパスワードを使うこと」「複数のサービスで同じユーザー名とパスワードの組み合せを使わない」「パスワード管理用のソフトを用いる、さらにはランダムなパスワードを作成して自動ログインするようなツールを活用する」と述べている。

以前同社では「文字を追加してパスワードのセキュリティを上げる傾向が見られるが、もしそれらがシンプルなパターンによるものだったとしたら、たとえ文字数が多くともハッキングのリスクは何ら変わるところがない」と言及していた。今回の結果からはその実情がうかがえる結果が出ている。

また同社では以前に「数字のみの羅列によるパスワードは絶対に避けるべき」「パスワードを要求するサービスでは、より長い、さらには数字と文字列の組み合せによる入力を求めるようになりつつあるが、それでもなお安心することはできない」「スポーツ名やプロスポーツのチーム名は汎用性が高いので使わない」「誕生日関連の数字、子供の名前に人気のある名詞は使うべきではない」「趣味名や著名スポーツ選手名、自動車のブランドや映画名も使わうべきではない」など、パスワードを利用する際の留意事項を言及していた。インターネット上のサービスを利用する上では、どれもが皆、心しておくべき内容に違いない。

とりわけ「複数のサービスで同じユーザー名とパスワードの組み合せを使わない」は重要。これは仮に一つのサービスでハッキングの被害を受けると、他のサービスでもその組み合わせを使われて被害が拡大する可能性が生じるからである。この手法によるハッキングの事を「リスト型アカウントハッキング」と呼んでいるが、昨今生じているアカウント乗っ取り事案においては、この手法によるものと多分に推測される状況が確認されており、大いに気を付けるべき話ではある。

今件リスト内に該当するパスワードを用いている人はもちろん、そうでなくとも指摘内容に思い当たる節がある人(特に同じユーザー名とパスワードの組み合せを複数サービスで使っている人)は、可及的速やかに変更をすることを強くお勧めしたい。

■関連記事:

パスワード管理方法、8.5％は「書いた紙をパソコンなどの周囲に貼る」

ウェブ上でのログイン、パスワードを全部共用している人は1割強

(注)本文中のグラフや図表は特記事項の無い限り、記述されている資料からの引用、または資料を基に筆者が作成したものです。

(注)本文中の写真は特記事項の無い限り、本文で記述されている資料を基に筆者が作成の上で撮影したもの、あるいは筆者が取材で撮影したものです。

(注)記事題名、本文、グラフ中などで使われている数字は、その場において最適と思われる表示となるよう、小数点以下任意の桁を四捨五入した上で表記している場合があります。そのため、表示上の数字の合計値が完全には一致しないことがあります。

(注)グラフの体裁を整える、数字の動きを見やすくするためにグラフの軸の端の値をゼロではないプラスの値にした場合、注意をうながすためにその値を丸などで囲む場合があります。

(注)グラフ中では体裁を整えるために項目などの表記(送り仮名など)を一部省略、変更している場合があります。また「～」を「-」と表現する場合があります。

(注)グラフ中の「ppt」とは％ポイントを意味します。

(注)「(大)震災」は特記や詳細表記の無い限り、東日本大震災を意味します。

(注)今記事は【ガベージニュース】に掲載した記事に一部加筆・変更をしたものです。