オリジナルのセキュリティ製品をはじめ、コンテンツ配信サービスなど、様々な製品・サービスを提供するソリトンシステムズが、2020年に発覚した232件の情報漏洩事件から分析を行い、2020年に日本人と想定されるユーザーが使用したパスワードのランキングを発表している。
すなわちこれらは”使ってはいけないパスワード”と考えてもよく、どのようなパスワードが使われているのかを知ると同時によもや自分が設定しているパスワードがこれに該当するものがないか確認しておきたい。

パスワードはどうやって知ることができるのか？

パスワードランキング自体も興味深いが、一体どのようにしてこのパスワードを知ったのかはもっと興味深いのではないだろうか。

トレンドマイクロやカスペルスキーなどセキュリティーソリューションを提供する企業は、ダークWEB上で売買されているID＆パスワードなどを含み、インターネット上に流出したパスワードを分析し、その文字列の傾向を調査している。
また、パスワード管理ツールなどを提供する企業である米SplashData社や米keeperSecurity社などは、2011年頃よりパスワードランキングを公表している。その他にも公的な組織として、National Cyber Security Centre (NCSC： 英国国家サイバーセキュリティセンター)などがある。このNCSCは、Troy Hunt氏と協力し、同氏が過去に漏洩したパスワードを収集しているWebサイト「Have I Been Pwned」のデータから使ってはいけないパスワードトップ10万を公開した実績がある。
余談ではあるが、この「Have I Been Pwned」は、過去のデータ漏洩インシデントで流出したアカウントデータを整理したサイトで、メールアドレスを入力してそのアドレスに関連するアカウントデータが流出しているかどうかをチェックできるものである。

今回、パスワードランキングの発表をしたソリトンシステムズでもサイバー空間調査チームを有しており、パスワード漏洩事件の調査・分析を行っている。サイバー空間で発見する漏洩データ量は増え続けており、例えば、2019年から2020年にかけての2年間で、ソリトンシステムズのサイバー空間調査チームは、560件以上の新しいパスワード漏洩事件を特定している。
そして、この中には大量の「日本人の漏洩パスワード」が含まれており、今回のようなランキング分析が可能となっているのだ。

使ってはいけないパスワードとその傾向

漏洩パスワードを調査している企業や団体があることはわかりました。おまたせしました、ソリトンシステムズが発表した『日本人のパスワードランキング 2020 ～TOP50～』を紹介しましょう。

パスワード分析の定義

その前に今回、どうやって”2020年の日本人のパスワード”と特定しているのかを説明する。

まず、”期間”であるが、パスワードの漏洩時期について「発見した時より以前のものである」というのは明確である。しかし、どの時点で窃取されたものかを特定するのは極めて困難ともいえる。漏洩元が発表するリリース中に情報窃取時期の記載がある場合もあるが、極めて稀なことと言えよう。
そこで今回は、2020年にパスワード漏洩が発覚したものだけを分析の対象としている。

次に”日本人”であるが、前述のように2020年にパスワード漏洩が発覚したものから、日本人パスワードを抽出する。
これに際し、国内のインターネットサービス等から漏洩したパスワードは、全てが日本人のものとして定義している。
また、海外サイトや、国籍不明の漏洩名簿に含まれるパスワードについてはその抽出に際し、「.jp」ドメインのメールアドレスに付帯するパスワードを日本人パスワードと定義している。

漏洩パスワードワーストランキング ～TOP50～

以下が漏洩パスワードワーストランキング ～TOP50～である。
”世界”と記載がある欄は、NordPassから発表されている2020年ランキングであり、海外との傾向を比較するものである。
また、色分けをしているが、オレンジは「キーボードの並び」をパスワードに使用しているもの、イエローは繰り返しなどの「簡単な組み合わせ」をパスワードに使用しているもの、ピンクは「名称」またはそれに近いものをパスワードに使用しているものである。

＜データ：ソリトンシステムズが公開したデータを元に編集Gpにて加工＞

こうみると日本人でも世界でも、何かしらの色付きが多いことが分かる。その内容も半数以上は日本人と世界であまり差がないことも分かる。（このくらい考え方が同じであれば、国の違いは乗り越えられそうな気もするのだが…）
QWERTYキーボードとも呼ばれるPCのキーボードであるが、まさにその並びでパスワードに設定するなど言語道断ということが理解してもらえることだろう。

個人で覚えられるパスワードにも限界はある。しかしながら、まずは各自がこの現状を認識し、安易なパスワードは設定しないようにすることを徹底しなければならない。
情シスも個人に依存するのではなく、例えばパスワードを登録させる必要がある場合、上記のようなNGパスワードを登録させないようにシステム側を作りこむ配慮を行うとか、SSO（シングルサインオン）の仕組みを取り入れるなどを検討すべきである。

興味深い「jza90supra」

日本人のランキング11位に「jza90supra」というパスワードがある。これはなんだと思われた方もいるかもしれないが、車好きならピン！と来たかもしれない。そう、トヨタ・スープラの名称と型式の組み合わせである。

JZという型式は古くは”セリカXX（ダブルエックス）”と呼ばれた1978年かた発売されたA40に端を発する。
その後、国内ではスープラの名前で登場したA70型、昨今のJDMブームで映画ワイルドスピードで使われた車両がオークションで6000万円の値が付いたA80型がある。
2002年を最後にそれ以降スープラの名が使われることがなかったが、社長の肝いりで2019年に復活したことは記憶に新しい。
であるが、2019年に復活したスープラは伝統の「JZ」の型式を受け継いでいない。
BMWとの共同開発だからか、はたまたマグナ・シュタイアのOEMだからかもしれないが、その型式は「DB」なのである。
しかしながら、先代からの続番でもある「A90」とも呼ぶ人も多く、トヨタもモータースポーツのエントリーやカタログ等で「A90」の呼称を使用しているという一面もある。

車のウンチクはこの程度にしておくとして、この「jza90supra」というパスワードを使った人は相当のスープラ好きと考えられるが、サイバー犯罪者にフィッシング詐欺を仕掛けられるような場合、対象者の属性情報は事細かく調べるであろうから、”スープラ好きのパスワード”として考えれば、この組み合わせは考えだせるかもしれない。

その他としては、GT-RはR32/R33/R34/R35、ZはS30に始まりS130/Z31/Z32/Z33/Z34、ポルシェ911は901/930/964/993/996/997/991/992など歴史のあるスポーツカーは型式で呼ばれることが多い。スポーツカーではないが、ドリフト好きな人には「ハチロク：AE86」などが有名であろう。（ハチロク人気がすごすぎて、新車の名称が86になってしまったのだから）
今回の「jza90supra」というのは2020年の日本人特有だったのかもしれないが、車好きの方はマニアックな情報だから型式などはわからないと思っているかもしれない。だからこそ狙われる可能性もあることは覚えておくほうが良い。

様々な企業・組織からランキングが発表されているが、ランキング上位の文字列ほど、パスワードとして広く使われていることになり、すなわち、このようなパスワードを設定していると不正アクセスされるリスクが飛躍的に高まるといえよう。

クラウド利用やテレワークでは、ID＆パスワードは最も重要なものである。だからこそ個人レベルでも、情シスレベルでもパスワード/パスワード管理については今一度よく考えてみるべきである。

【執筆：編集Gp　ハラダケンジ】

参考文献
・ソリトンシステムズ「日本人のパスワードランキング 2020」