サイバー犯罪者は、さまざまな手口を使ってパスワードを盗み出そうとする。一方、推測されやすい単純なパスワードを使って、わざわざサイバー犯罪者を助けるようなことをしている人も多い。英国の決済サービス企業Dojoが実施したハッキングされやすいパスワードの調査結果は、避けるべき間違いを知り、インターネットを安全に利用する助けになるかもしれない。
Dojoは、過去に流出したパスワードの膨大なリストである「RockYou2021」を使って、600万個以上のパスワードを調査した。その結果、最も頻繁に使われていたパスワード、その平均的な長さ、パスワードによく使われる言葉が明らかになった。
まず、ハッカーはどのような手口でパスワードを入手するのだろうか。
最もよく使われている方法は「総当たり攻撃」だ。サイバー犯罪者たちは、自動化されたツールを使って1秒間に何百万個ものパスワードを試す。これと似た手口に「辞書攻撃」がある。これは、一般的な単語やフレーズを組み合わせて作ったパスワードでログインを試みる方法だ。ソーシャルメディアアカウントをあさって、パスワードに使われそうな個人情報を探るハッカーもいる。
メールやテキストメッセージ、電話などを使ったフィッシング攻撃も、パスワードを盗み出す手口としては一般的だ。知らないうちにPCがマルウェアに感染し、パスワードを奪われてしまったケースもある。
Dojoの分析によると、パスワードのハッキングに要する時間は、パスワードに使われている文字の数と種類によって決まるという。例えば、よくある小文字だけのパスワードは破られやすい。小文字だけの6文字のパスワードの解読にかかる時間はほぼ0秒だ。7文字だと0.12秒、8文字だと3秒になる。
ここに大文字や数字、特殊文字などを組み合わせても、パスワードが短かったり、よくある組み合わせだったりすれば、あまり意味がない。今回の調査対象となった漏えいパスワードのうち、大文字で始まる8文字のパスワードは450万個以上、末尾に特殊文字が使われているパスワードは350万個以上あった。
特定のテーマや話題に関する言葉を使ったパスワードも破られやすい。
ニックネームや愛称を使ったパスワードは100万個以上見つかった。テレビ番組の登場人物の名前を使ったパスワードは45万個以上、テレビ番組のタイトルを使ったパスワードは36万5000個以上あった。パスワードに使われやすい言葉には、他にも色、ファッションブランド、都市、国、映画、体の部位、車のブランド、ペットの名前、下品な言葉、ビデオゲームのキャラクターの名前などがある。
例えば、パスワードに最もよく使われていたニックネームと愛称は、「King(王)」「Rose(バラ)」「Love(愛)」「Boo(恋人の呼び名)」「Hero(ヒーロー)」「Angel(天使)」だ。色名では、「red(赤)」、「blue(青)」、「black(黒)」、「gold(金)」、「green(緑)」の登場頻度が高かった。ゲームのキャラクター名を使ったパスワードも多く、特に目立ったのは「Joel(The Last of Us)、「Q*Bert(Qバート)」、「Link(ゼルダの伝説)」、「Mario(スーパーマリオブラザーズ)、「Ryu(ストリートファイター)」だ。
破られたパスワードの分析結果をもとに、Dojoはパスワードの安全性を保つためにすべきことを次のようにまとめている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果