Nordvpn S.A.は1月29日、「2025年日本で最も多く使われているパスワード」の調査結果を発表した。
同調査は、同社傘下のパスワード管理ツール「NordPass」と脅威インテリジェンス「NordStellar」が独立系のサイバーセキュリティ研究者と協力し、2024年9月から2025年9月にかけて公開されたデータ侵害およびダークウェブ上のリポジトリから集計された、世界44ヶ国のパスワードデータおよび関連するメタデータを対象に、統計的に分析したもの。
調査結果によると、1位となったパスワードは「最弱のパスワード」とされる「123456」ではなく、デバイスの初期パスワードである「admin」となり、日本国内におけるパスワードのセキュリティリスクは、単なる「複雑さの不足」から、IoT機器などの「初期設定を変更せずに利用する」ことへと変化していることが明らかになったとしている。その他、日本特有の人名を含む文字列や、推測されやすい入力パターンも依然として上位を占め、攻撃者にとって「侵入しやすい環境」が放置されている実態が浮き彫りとなっている。日本国内に限定して分析した今回の調査でも、利便性を優先して推測が容易なパスワードを選択する傾向が依然として続いていることが示されたとしている。
2025年に日本で最も使われたパスワードTop 20は下記の通り。
1.admin
2.123456
3.password
4.Freemima123
5.12345678
6.yamamoto2580
7.Chan8899
8.rosycash
9.102030Abcd
10.Mokariku
11.tootoo
12.1qaz2wsx
13.Kanazawa2
14.123456789
15.mirror2009
16.never4getyou
17.2020Sank
18.P@ssword123456
19.apple555
20.aabbccdd1234
同調査のトピックとして下記を挙げている。
・首位「admin」が示すIoTセキュリティの死角
購入後に設定変更が行われていないデバイスが国内に多数存在することが判明しており、ハッカーにとって家庭内ネットワークへの侵入や、IoT機器を踏み台にしたサイバー攻撃の実行を可能にするリスクとなる
・「yamamoto」など日本人の名前もランクイン
6位にランクインした「yamamoto2580」などの「自分の名前+数字」の組み合わせは、SNS等の公開情報と照合されやすく、日本国内のユーザーにとってリスクが高いことを改めて確認。
・「工夫したつもり」のパスワードの脆弱性
12位の「1qaz2wsx」(キーボードの左端を縦に入力したもの)や、18位の「P@ssword123456」(aを@に置換したもの)のような、ユーザーが工夫して複雑化したつもりのパスワードも、ハッカーにはすでに広く知られており、攻撃用の組み合わせとしてデータベース化されている。
NordVPN最高技術責任者(CTO)のマリユス・ブリエディス氏は、下記4つのパスワードセキュリティ防御策を推奨している。
1.デバイスの「初期設定(デフォルト)」を必ず変更する
2.長さと複雑さで「解読コスト」を高める
3.名前や「ありふれた単語」を排除
4.アカウントごとの「使い分け」を徹底
