あなたの暗証番号は「これ」ですか?
ドコモ口座の不正送金問題が明らかになった際に、再び銀行で使われる暗証番号が注目されました。口座番号や名義が洩れたとしても、暗証番号はどのようにして知ったのだろうという疑問で、リバースブルートフォース攻撃(暗証番号を固定して、多数の口座番号で認証の可否を試してみるという手口)やフィッシング詐欺であらかじめ得た口座番号や暗証番号を利用したのではないかという憶測です。今のところ、犯人が特定されたわけではないので、それらの確証はありません。
その暗証番号が以前に注目を浴びたのは20年以上前、スキミングという手口が流行ったときでした。スキミングは磁気カードが主流であった頃、クレジットカードから番号を抜き取って(カード読み取り装置で磁気記録を感知して)、その番号で偽造カードを作り、暗証番号を推定して、ATM等で現金を引き出す手口です。当時は現在に輪をかけてセキュリティ意識が乏しく、1234や7777といった誰でも思いつきそうな番号を利用する人が多かったのです。
この暗証番号ですが、たかだか4桁の数字であり、類推されることが十分考えられます。スキミング被害が多発した頃から、住所や電話番号、生年月日、その他、個人情報に関係した数字を使わないように、と強く言われています。では、それ以外の4桁の数字にすれば安全なのでしょうか。安全ではありません。
暗証番号は「暗唱番号」と書き間違えられるように、利用者自身が選択し、利用者が覚えやすい4桁の番号にすることが常です。このことが暗証番号として、よく用いられる数字と逆に用いられない数字に偏る傾向となるのです。以下は、10年以上前の英語圏の例ですが、あるサイトでの180万件近くの4桁の暗証番号について調べた結果です[1]。ヒートマップと呼ばれる形式で可視化しており、横軸が最初の2桁、縦軸が次の2桁を表しており、5050という4桁であれば、ちょうど中央当たりの点を表しています。それぞれの点で、色が濃いほど多くの人がその暗証番号を使っていたということです。対角線にそって濃くなっているのは、2323や8585といった2桁の繰り返しの暗証番号を使っている人が多いという結果を表しています。ちなみにこの調査の際には、1234の人が66,000人以上いて、逆に一番少なく10人の人しか使っていない暗証番号は8439だったそうです。このグラフからわかるように、濃い部分と淡い部分が明確にわかれ、人が利用しがち4桁の番号の傾向がわかります。
4桁の数字だから1万通りの組み合わせというのは数学的な回答であって、上記のように、ほとんどの人は色の濃い部分を千通りも試せばほとんど当たるのです。
上記の調査結果に基づくヒートマップは欧米の人たちに対する調査でした。この結果に日本人の特性を考慮するとさらに絞ることが可能かもしれません。たとえば、日本人は数字を語呂合わせで覚えるのを好みます。1122を「いい夫婦」や2525を「ニコニコ」等です。これにその人の個人情報である趣味がわかれば、さらに狭まるかもしれません。たとえば、ゴルフが趣味ですと1872を選ぶ人もいるでしょう。18ホールパー72という意味です。麻雀好きでしたら、0801かもしれません。8月1日は牌の日です。また銀行関係ですから5910で小切手かもしれません。意外とあなたの身近な人は暗証番号を知っているかもしれませんし、身近でなくとも結構言い当てることが出来るかもしれません、他人でも
[1]J. Bonneau, S. Preibusch, and R. Anderson, “A Birthday Present Every Eleven Wallets? The Security of Customer-Chosen Banking PINs”. In: Proceedings of the 16th International Conference on Financial Cryptography and Data Security (FC). Vol. 7397. Lecture Notes in Computer Science (LNCS). Mar. 2012.