Yahoo!ニュース

あなたの暗証番号は「これ」ですか?

森井昌克神戸大学 名誉教授
暗証番号の漏洩(提供:GYRO PHOTOGRAPHY/アフロイメージマート)

ドコモ口座の場合、キャッシュカードに当たる口座番号と名義は簡単に偽造できるゆえ、人の目が行き届かないネットワークの奥底で利用できる高々数字4桁の暗証番号では認証にならないのです。

出典:ドコモ口座問題で話題になった暗証番号、4桁でいいんですか?いいんです!

ドコモ口座の不正送金問題が明らかになった際に、再び銀行で使われる暗証番号が注目されました。口座番号や名義が洩れたとしても、暗証番号はどのようにして知ったのだろうという疑問で、リバースブルートフォース攻撃(暗証番号を固定して、多数の口座番号で認証の可否を試してみるという手口)やフィッシング詐欺であらかじめ得た口座番号や暗証番号を利用したのではないかという憶測です。今のところ、犯人が特定されたわけではないので、それらの確証はありません。

その暗証番号が以前に注目を浴びたのは20年以上前、スキミングという手口が流行ったときでした。スキミングは磁気カードが主流であった頃、クレジットカードから番号を抜き取って(カード読み取り装置で磁気記録を感知して)、その番号で偽造カードを作り、暗証番号を推定して、ATM等で現金を引き出す手口です。当時は現在に輪をかけてセキュリティ意識が乏しく、1234や7777といった誰でも思いつきそうな番号を利用する人が多かったのです。

この暗証番号ですが、たかだか4桁の数字であり、類推されることが十分考えられます。スキミング被害が多発した頃から、住所や電話番号、生年月日、その他、個人情報に関係した数字を使わないように、と強く言われています。では、それ以外の4桁の数字にすれば安全なのでしょうか。安全ではありません。

4桁の暗証番号は1万通りですが、この20個の暗証番号は人気で全体の26%になります。1日に2回この順番でトライすれば10日以内に26%の口座にアクセスできてしまいます。

出典:ドコモ口座詐欺事件で知っておきたい 絶対に使ってはいけない「暗証番号」とは

暗証番号は「暗唱番号」と書き間違えられるように、利用者自身が選択し、利用者が覚えやすい4桁の番号にすることが常です。このことが暗証番号として、よく用いられる数字と逆に用いられない数字に偏る傾向となるのです。以下は、10年以上前の英語圏の例ですが、あるサイトでの180万件近くの4桁の暗証番号について調べた結果です[1]。ヒートマップと呼ばれる形式で可視化しており、横軸が最初の2桁、縦軸が次の2桁を表しており、5050という4桁であれば、ちょうど中央当たりの点を表しています。それぞれの点で、色が濃いほど多くの人がその暗証番号を使っていたということです。対角線にそって濃くなっているのは、2323や8585といった2桁の繰り返しの暗証番号を使っている人が多いという結果を表しています。ちなみにこの調査の際には、1234の人が66,000人以上いて、逆に一番少なく10人の人しか使っていない暗証番号は8439だったそうです。このグラフからわかるように、濃い部分と淡い部分が明確にわかれ、人が利用しがち4桁の番号の傾向がわかります。

暗証番号のヒートマップ(文献[1]より)
暗証番号のヒートマップ(文献[1]より)

4桁の数字だから1万通りの組み合わせというのは数学的な回答であって、上記のように、ほとんどの人は色の濃い部分を千通りも試せばほとんど当たるのです。

上記の調査結果に基づくヒートマップは欧米の人たちに対する調査でした。この結果に日本人の特性を考慮するとさらに絞ることが可能かもしれません。たとえば、日本人は数字を語呂合わせで覚えるのを好みます。1122を「いい夫婦」や2525を「ニコニコ」等です。これにその人の個人情報である趣味がわかれば、さらに狭まるかもしれません。たとえば、ゴルフが趣味ですと1872を選ぶ人もいるでしょう。18ホールパー72という意味です。麻雀好きでしたら、0801かもしれません。8月1日は牌の日です。また銀行関係ですから5910で小切手かもしれません。意外とあなたの身近な人は暗証番号を知っているかもしれませんし、身近でなくとも結構言い当てることが出来るかもしれません、他人でも

[1]J. Bonneau, S. Preibusch, and R. Anderson, “A Birthday Present Every Eleven Wallets? The Security of Customer-Chosen Banking PINs”. In: Proceedings of the 16th International Conference on Financial Cryptography and Data Security (FC). Vol. 7397. Lecture Notes in Computer Science (LNCS). Mar. 2012.

神戸大学 名誉教授

1989年大阪大学大学院工学研究科博士後期課程通信工学専攻修了、工学博士。同年、京都工繊大助手、愛媛大助教授を経て、1995年徳島大工学部教授、2005年神戸大学大学院工学研究科教授(~2024年)。近畿大学情報学研究所サイバーセキュリティ部門部門長、客員教授。情報セキュリティ大学院大学客員教授。情報通信工学、特にサイバーセキュリティ、情報理論、暗号理論等の研究、教育に従事。内閣府等各種政府系委員会の座長、委員を歴任。2018年情報化促進貢献個人表彰経済産業大臣賞受賞。 2019年総務省情報通信功績賞受賞。2020年情報セキュリティ文化賞受賞。2024年総務大臣表彰。電子情報通信学会フェロー。

森井昌克の最近の記事