パスワードは定期的に変更しましょうね、と言う件。

セキュリティー大手のソリトンシステムズは2024年に国内外の約276サイトから漏洩した日本のウェブサービスの利用者のパスワードの傾向を分析した。最も多かったのが「123456」。キーボードの配列順や、サービス名の「amazon」など容易に推測できる文字列が上位に入る。

---

日本人の主な漏洩パスワード
1位　123456
2位　password
3位　123123
4位　qwerty
5位　111111
・・・
12位　Password1
20位　sakura
22位　pokemon
24位　amazon

---

闇サイトでは過去に企業から流出したIDやパスワードのリストを公開されることがある。ソリトンシステムズが2024年1月～8月に観測した国内事業者29サイトからの漏洩分と、海外事業者247サイトからの漏洩のうち末尾に「.jp」が付くメールアドレスと組み合わさった分の合計を日本人のものと推定した。

日本人アカウントは276サイトから約713万件見つかった。2021年の約428万件を7割近く上回る。2022年にも約143万件あった。インターネット上にはソリトンシステムズが発見できていない漏洩ファイルもあり実際はさらに多いという。

パスワードの文字列は約216万種類あった。「123456」に次ぐ2位には「password」、3位は「123123」と単純な数列が並んだ。

一見して不規則でも、推測されやすい場合もあった。4位の「qwerty」や8位の「1q2w3e」はキーボードの配列をそのまま入力したものだ。
近年のＷＥＢサービスは、パスワードについて連続した数字を禁じるほか「大文字と小文字、数字を最低1つ」など、ルール化して単純な設定を防ごうとしている。

しかし複雑になる結果、ユーザーは忘れないようにキーボード順や「password1」（12位）といった見かけ上はランダムでも推測されやすい文字列を使いがちだ。

「sakura」や「pokemon」、「amazon」などウェブサービス名や固有名詞をそのまま転用したものもある。サービス自体のパスワードや複数のサービスで使いまわしているようだ。

アカウントの乗っ取りを狙うサイバー犯罪者は、使われやすい文字列や過去に流出したパスワードをリスト化して自動的に入力していく「リスト型攻撃」という手法でログインを試す。

ソリトンシステムズの担当者は「単純な文字列や予測されやすい文字列をパスワードに設定することは不正ログインのリスクがある」と警告する。

この「利用しているパスワード上位」ランキングに関しては、私が何年か前に見たものとほとんど変わっていない。その時も確か1位が「123456」だったと思うし、2位も「password」だった記憶がある。これだけ「パスワード漏洩に気を付けましょう」と啓蒙活動を続けているにもかかわらず、多くの人が数年前と同じセキュリティレベルでPCやWEBを利用しているのである。これには正直驚いた。確かにパスワード変更って面倒くさいもんなあとも思う。

おそらく今後もCEサイトの利用は増えていく一方だろう。WEBサービスだって同様だ。個人で気を付けることも勿論だが、事業者側も推測されやすい文字列の設定を禁ずるなど、仕組み作りが重要になっていくだろう。

皆さんも、パスワードの取り扱いには十分に気を付けてください。

今日はここまで。

現在フォロワー1000人目指し毎日投稿中。記事を読んだら「スキ」してもらえると嬉しい。「フォロー」してもらえるとさらに嬉しいです。

引き続き、どうぞよろしく！