190万人が「123456」を使用、アドビの情報流出で判明した甘いパスワード管理
アメリカのアドビシステムが不正アクセスを受け、顧客情報などが流出したことが公表されたのは昨月10月頭の話(お客様情報のセキュリティに関する重要なお知らせ)。このデータのうちユーザー名・暗号化されたパスワードのデータが同月末までに第三者の手によってネット上に公開され、多くの人に知られることとなった。
このデータを基に、アメリカのセキュリティ関連会社Stricture Consulting Group(SCG)では11月3日、その一部(約1.3億件)を分析、多くのユーザーが安直なパスワードを用いていることを明らかにした。次に示すのはその公開値を基にした、「今件情報流出における、使用者の多いパスワード」。インターネット界隈全体ではなく、アドビの商品利用者を対象としたデータであることに注意。
パスワードの上位は簡易な数字、あるいはアルファベットの羅列、または容易に想像が出来る単語の言い回しで占められている。例えば最上位の「123456」は、今回検証対象となった約1億3000万件のうち、1.47%の人が利用していた。約68人に1人の割合である。「password」はパスワードとして良く知られている単語であり、「qwert」はキーボードの左側上部から順に打つだけの文字列に過ぎない。「azerty」も同じ(AZERTY配列という、フランス語圏などでよく使われるキーボードではこの順に左からキーが並んでいる)。
また今件がアドビ商品の利用者のものであることから、「adobe」「photoshop」「macromedia」などのアドビと深い関わり合いのある固有名詞が多数目に留まる。グラフ中には無いが上位に顔を見せている「adobeadobe」「adobe1」なども同様である。
これらの文字列が使われたのは、ひとえに「覚えやすい」「使いやすい」、さらには多分に「他でも使っている」からに他ならない。
しかしながら自分が覚えやすい、使い易い文字列は、(個人特有の経験や記憶によるもの…例えば高校時代の学生証のID、生まれて初めて一番の成績を取った時の月日…でない限り)他人も同じ発想をするもの。また悪意の第三者も容易に使用しうる。利便性と安全性を図りにかけるという重要な判断の際に、「複雑なパスワードは面倒だし、自分は大丈夫、のはず」と利便性を優先するがゆえに、都合の良い解釈をすると、このような汎用性が高く危険なパスワードを用いてしまい、リスクにさらされることになる。
今回グラフで紹介したのは上位20位まで、しかも全世界を対象にしたもので、英単語によるものがほとんど(元資料には100位までが記述されている)。しかしトップの「123456」をはじめ日本でも使われていそうな文字列は多数見受けられるし、「自分が覚えやすい、使い易い文字列」というパターンに、はっとさせられる人も多いはず。アドビの商品に限らず、思い当たる節があれば、今すぐにでも変更することをお勧めしたい。
※2013.11.07.20:35 グラフの誤表記を正しいものに修正しました
■関連記事: