日本人が使いがちなパスワードは何だか分かるだろうか。ソリトンシステムズは2020年に発覚した232件の情報流出事件を分析し、日本人と思われる利用者が設定していたパスワードの種類と数を集計した。
その結果、最も多かったのは「123456」。これは世界中で「最悪のパスワード」として知られており、日本人ならではの結果ではなかった。
だが、もう少し下位に目を向けると「ならでは」の文字列が登場する。例えば11位は「jza90supra」。これは他社が公開する世界ランキングでは200位にも入っていなかった。一体、この文字列は何なのだろうか。
JPドメインのパスワードを抽出
みんながどのようなパスワードを使っているのかは気になるところだが、直接聞いて回るわけにはいかない。そこで以前から、セキュリティー企業などはインターネットに流出したパスワードを分析することで、パスワードとしてよく使われる文字列を調べている。たくさん見つかった文字列ほど、パスワードとして広く使われていると判断する。
例えば米スプラッシュデータは2011年以降、流出データを基にしたパスワードランキングを公表している(図1)。2013年以降は「123456」が首位を堅持している。「最悪のパスワード」と呼ばれるゆえんである。
ランキングが上位の文字列ほど推測しやすく、パスワード破りのための辞書にも登録されている可能性が高いのですぐに破られる。
こういった調査では対象の属性を考慮することは少ないが、ソリトンシステムズでは日本人に絞ったランキングを発表した。調査対象は2020年に発覚した情報流出事件で、内訳は「国内サイト等で発生した事件」が146件、「海外サイト等で発生した事件」が84件、「何者かが編集した漏洩名簿(コンボリスト)」の流出事件が2件。
これらのうち、国内サイト等で発生した事件で流出したパスワードは、すべて日本人のものと定義。それら以外の事件で流出したパスワードについては、対応するメールアドレスがJPドメインのものを日本人が設定したと定義した。
