国産認証製品のパイオニア的セキュリティ企業である株式会社ソリトンシステムズは2月7日、「日本人のパスワードランキング2021」を公開した。
パスワードは「他人に見せない」特別な領域でもあり、人がどんなパスワードを使っているか、ましてやその統計を見る機会などほとんどない。また、大多数のユーザーにとってパスワードの作成とその管理は「最も身近で、かつ、ほぼ唯一のセキュリティ運用」であるから、本資料は眺めているだけで飽きない。他人が使っているひどいパスワードを見て「みんな自分と変わらない」と、ほっこりすることもできる。そんな資料の最新版が到着した。
単にネットに漂流するIDとパスワードのリストを集めて分析しただけの資料とも言うことができるが、データ量はときに億・数十億単位になるため、Excelなどは使えない。集めたデータをクラウドなどにいったん集積し、分析用の専用プログラムを開発し走らせる必要がある。また、ソリトンシステムズのこの調査の特徴のひとつだが、漏えいリストの捜索範囲をダークウェブではなく、サーフィスウェブに限定している。ダークウェブで集めたデータで事業を行うことのリスク(頭の悪い法執行機関等に反社会的勢力との間接的な商取引などと因縁や言いがかりをつけられるリスク)を回避することが目的と思われるが、この捜索範囲の縛りを設けることで「検索等々工夫すれば誰でも到達できるデータ」という、すぐ身近にある危機としてのリアリティを身にまとっている。
同レポートは、2021年に発覚した209件の日本人の漏えいパスワード(紐付けはIDに使われるアドレスの jp ドメインは機械的に、それ以外はドメイン対照表を作成して行う)のランキング分析を通じて、「誰でも予想がつく最悪のパスワード」の周知を目的に作成されている。漏えいしてインターネットに放置されているパスワードを徹底的に拾い集め分析を行ったのは、サイバーリサーチ株式会社 代表取締役の藤田有悟氏。
2021年の日本人パスワードについては1,829,473種類確認され、これを重複の多い順に並べたものがランキングで1位から10位は下記の通り。
1位:123456
2位:password
3位:000000
4位:1qaz2wsx
5位:12345678
6位:123456789
7位:111111
8位:sakura
9位:dropbox
10位: 12345
同レポートでは、ランキングに登場する「123456」「1qaz2wsx」「zxcvbnm」「asdfghjkl」など、キーボードの配列そのものが漏えいパスワードに多いことが判明している。
その他にも、「パスワード」を応用した「password」「Password」「Password1」「passpass」「Password!」や、アルファベット「abcd」を応用した「abc123」「abcd1234」「abcdefg」「1234abcd」などを入力する日本人が多数いることが判明している。
また、日本人が好きなものに関連したパスワードと思われる「banana」「doraemon」「arashi」「himawari」「snoopy」などを挙げている。
パスワード「ワースト」ランキングは確かに面白いが、毎年正月にテレビで放送する定番コンテンツ感が漂うことも事実だ。ユーザーの興味は多様であるし、この調査が示唆するほどユーザーは馬鹿ではない。また、Chromeなどのブラウザによる理想的なパスワードの生成機能の利用者も近年増加している。「最悪のパスワード」だけではなく、大文字 小文字 英字 数字 記号等を用いた「最悪ではないパスワード」の比率やその増減なども見てみたいところである。たとえば182万種類の中に、他と重複しない「理想的な」パスワードはいくつあったのだろう。そしてそのパスワードは、果たしてセキュリティの専門家が言うように「8桁以上で」「全角半角英字混じりで」「英数記号」などが使われていたのか。ただし大きい数による匿名化が効かなくなるので、たとえそういうパスワードがあっても、フルスペルの公開は難しいかもしれない。
同レポートでは最後に、リスク低減のために「単純なパスワードは今すぐ変更すること」「同じパスワードを複数サービスで使いまわさないこと」という1億%同意はできるものの、いまさら感以外何もない正論を型どおり踏襲してはいるが、単なる正論の説教だけではない含みを持たせて終わっている。
本レポートの刊行を企画し、1万文字におよぶ全文を毎年執筆する、株式会社ソリトンシステムズ 執行役員 長谷部泰幸氏に編集部が取材したところ、「本ホワイトペーパーは、情報システム管理者やECサイトのオーナーへ『認証といえばパスワード』というこれまでの常識から離れ、『脱パスワード』について考えるきっかけとなって欲しいとも考えている」と語った。正論が課題を解決できないことを同氏はよくわかっていた。
現在、GAFAが提供するサービスはもちろんのこと、LINEやYahoo! Japanなども積極的に多要素認証を採用しており、メールアドレスをIDに用いそれに6桁から8桁のパスワードを組み合わせるだけの従来の認証からの脱却は急速に進んでいる。本資料「日本人のパスワードランキング2021」は、到底実施できない正論と事故発生時の責任をユーザーへ押し付ける根拠にも、あるいは多要素認証採用等の脱パスワード化をはかる稟議の根拠にも、どちらにも用いることが可能である。
「日本人のパスワードランキング2021」は、昨年公開された「日本人のパスワードランキング2020」に続いて年次公開としては2回目。 それまでは、Arkei Stealer Botlog事件や、Collection#1事件など、ジャーナリスティックな切り口で同様の「盗まれたクレデンシャルの行方」を追求していたが、息切れしたのか、あるいは戦略を変えたのか、単に反響がイマイチだったのか。
いずれにせよNordVPNなどで知られるNord Security社など、海外のセキュリティ企業のいくつかは同種のレポートを定期的に配信しているが、海外企業のこうしたレポートは元となるデータに偏りがないのかがわずかに気になるところだった。国産認証製品のパイオニア的セキュリティ企業が、日本のユーザーと日本企業向けに、こうしたレポートをアニュアルで公開していくとしたら、その定点観測の意味は小さくないだろう。ベライゾンの情報漏えいレポートのように、同一フォーマットでの年次公開と定番化を期待したい。このレポートを遠くから見ればパスワードの墓標に見えるかもしれない。
