【2019年版】「最悪のパスワードのリスト」。donaldは今年は何位?~簡単で危険なパスワードのリスクのすべて

うっかり「簡単なパスワード」「使い回したパスワード」を使うことが、いかに危険なことなのか!そのリスクはデジタル終活どころではありません。大切なデジタル遺品やデジタル遺産もいつ盗まれてしまうか分かりません。
2019年最新版の「最悪なパスワードリスト」と共に、簡単なパスワードを使うことやパスワードの使い回しがいかに危険なことか、わかりやすく解説します。
この記事は2019年度版です。最新の2020年版の最悪パスワードリストは下記記事をご覧ください。
ブログ内の関連記事(新しいウィンドウで開きます)

「簡単なパスワード」や「使い回したパスワード」を使うことは「自宅の鍵をばらまく」に等しい最も危険な行為です。しかし不正ログインなど多くのサイバー犯罪の原因にもかかわらず、相変わらず危険なパスワードを使ってしまう人はなくなりません。2[…]

【2020最新】「最悪のパスワードのリスト」~使ってはダメなパスワード上位50

「2019年世界上位100」の最悪のパスワードから見た「あまりに大きなリスク」とは

2018年にはパスワードリスト入りした「donald」、2019年は?

さすがに今時、大切なサービスのパスワードに「123456」とか「password」といった、誰でも思いつく単語を使う人はいないと思います。

しかし、アメリカのセキュリティ会社SplashDataが毎年発表している「最悪パスワード上位100の2019年版」を見たところ、あいかわらず「123456」が不動の一位です。
昨年度のリストと比較しても改善された様子はありません。不動の一位は別としても、ますます雑なパスワードが増えている印象です

昨年23位に登場した「donald=ドナルド(トランプ大統領のファーストネーム)」は、今年は34位に転落しました。

次回の大統領選挙の結果が占えるかもしれません。

「最悪パスワード100の2019年版」より
順位パスワード順位パスワード順位パスワード
1位123456 (前年と同じ)11位abc123 (15位からアップ)21位888888(新登場)
2位123456789 (3位からアップ)12位qwerty123 (昨年新登場25位から大幅アップ)22位princess (11位からダウン)
3位qwerty (9位からアップ)13位1q2w3e4r(新登場)23位dragon(新登場)
4位password (1つダウン)14位admin (12位からダウン)24位password1 (昨年と同じ)
5位1234567 (7位からアップ)15位qwertyuiop(新登場)25位123qwe(新登場)
6位12345678 (3位からダウン)16位654321 (19位からアップ)sunshine (昨年8位→30位)
welcome (昨年13位→34位)
666666 (昨年14位→26位)
football(昨年16位→36位)
monkey(昨年18位→圏外)
654321(昨年19位→42位)
!@#$%^&*(昨年20位→圏外)
charlie (昨年21位→37位)
aa123456(昨年22位→41位)
donald (昨年28位→34位)
7位12345 (5位からダウン)17位555555(新登場)
8位iloveyou (10位からアップ)18位lovely(新登場)
9位111111 (6位からダウン)19位7777777(新登場)
10位123123 (17位から大幅アップ)20位welcome (5つダウン)

[原典] https://www.teamsid.com/1-50-worst-passwords-2019/

しかしこのリストを見ると、あまりに簡単なものは論外としても、「qwertyuiop 」のように一見複雑そうでも「キーボードで並んでいるキーをqから右に順番に打っただけ」といった、簡単にバレてしまうようなパスワードが相変わらず使われていて驚きます。

最新・2020年版の最悪パスワードリストはこちら

ブログ内の関連記事(新しいウィンドウで開きます)

「簡単なパスワード」や「使い回したパスワード」を使うことは「自宅の鍵をばらまく」に等しい最も危険な行為です。しかし不正ログインなど多くのサイバー犯罪の原因にもかかわらず、相変わらず危険なパスワードを使ってしまう人はなくなりません。2[…]

【2020最新】「最悪のパスワードのリスト」~使ってはダメなパスワード上位50

 

流通している「パスワード単語リスト」の現状

怖いのはこのようなパスワードは闇市場(ダークウェブ)に流れている「パスワード候補の単語リスト」に掲載されてしまっていること。

上記のような誰でも推察できるパスワードもちろん「日常生活で良くつかわれる単語」「有名人の名前」「一般的な人名や地名」「流行語」「有名なポップミュージックの曲名」など、およそ思いつくであろうすべての単語を網羅した膨大なパスワードが、きれいにリスト化され出回っているのです。

上記の会社によると、なんと「パスワード候補リストには500万件もの単語が乗って」いて「それをパスワードとして今も数百万人の人が使っている」という現実です。

不正に入手したユーザーの氏名、住所、生年月日、口座、暗証番号、パスワードなどをセットにしてリスト化した情報は「Fullz」(フルズ)と呼ばれて、ブラックマーケットで盛んに流通しています。

ハッカー達はパスワードリスト(Fullz)の更新は「自分のテクニックを誇示すると共に大きな収益を生む源泉なので」リストの精度は日々向上しています。

また別の記事では、悪意のハッカー達が情報をやりとりする秘密のネットワーク「ダークウェブ」上にはもっと恐ろしいリストが存在していることも分かっています。保存されていたアカウントは14億個!

しかも、きちんと整理されて、高速に検索するように、データベース化されていたそうです。

研究チームが2017年12月5日に発見した。ディープWebやダークWeb(いずれも通常のブラウザで参照できない情報)をスキャンして、流出や紛失、盗難に遭ったデータを探していた。
41GBのリポジトリには、14億個の盗まれた認証情報が平文(暗号化されていない誰でも読める形)で保存されていた。これらは過去に起きた252件の流出事件から集められた情報で、世界最大級のビジネス特化型SNS(ソーシャル・ネットワーキング・サービス)であるLinkedInや、テキストデータを保存し公開することができるWebアプリケーションサービスPastebinなどから流出した情報も含まれていた。

これは単なるリストではない。総合的な双方向データベースであり、高速検索(反応時間1秒)や新たな流出情報の取り込みもできる。ユーザーが電子メールやソーシャルメディア、電子商取引、銀行、仕事用のアカウントで同じパスワードを使い回している現状を考えると、犯罪集団がアカウント乗っ取りやアカウント奪取を自動化することもできる。このデータベースは、パスワードの発見をかつてないほど高速かつ容易にした。たとえば管理者が利用する『admin』『administrator』『root』というパスワードを検索すると、わずか数秒で22万6631件がヒットした」

■引用

 

何千回、何万回でもパスワードを入れ替えて執拗に攻撃する「総当たり攻撃」とは?

悪意の侵入者は、照合ブログラムを使って使えそうなIDとパスワードを片っ端から試してしまいます。

このような「総当たり攻撃」手法を「ブルートフォース(brute force)アタック」といい、何千何万件の単語リストでもあっという間に照合されます。

銀行キャッシュカードの暗証番号は通常4桁です。
人による操作で4桁をしらみつぶしに入力し暗証番号を見つけることは手間がかかりますが、コンピューターを使えば(コンピューターで入力でき、入力ミスが多数出ても取引が止められないならば)、簡単に暗証番号を見つけることができます。

システムへの侵入するためのパスワードは、通常4桁ではなくもっと長いパスワードを利用していますが、時間的制約がない限りは時間をかければ確実に解読することが可能です。
たとえば、6文字のパスワードを破るまでに約14−15秒程度しか掛かりません。

 

対策を打っても打っても、新しい攻撃との「いたちごっこ」が続いている

もちろん一般のオンラインサービスでは「総当たり攻撃」を防ぐために、「パスワードを繰り返し入れて試行錯誤することができない」処理を追加しています。
そのため「うっかりパスワードを何度か間違えてロックされてしまった」経験はどなたもお持ちでしょう。

ところが悪意のハッカーも続々新しい攻撃方法を考えて対抗しています。

たとえば下記の攻撃方法は、少しやり方を変えた新たな攻撃方法です。

「ひとつのIDに、次から次へと違うパスワードを当てていく」今までのやり方ではなく、「パスワードとIDの一組を組み合わせたセット」を次々と入力していき、システムの防御策をだまして総当たりを実現させようとするものです。

これはほんの一例ですが、次々に新たな攻撃方法が現れて、「対策と攻撃のいたちごっこ」状態になっているのが率直な現実です。

さらにコンピューターの処理能力の向上が著しいため、パスワードを総当たりの所要時間もどんどん短くなり、一昔前は「1日がかり」だった処理が「数分」単位で終わる事態にもなりつつあります。

さらにコンピューターの処理速度の向上は、今後さらに発展しますので、しっかりしたパスワードを設定しておかないと、将来「デジタル遺産やデジタル遺品」として継承したアカウントも盗まれてしまうリスクもあるのです。

あなたのパスワードを推測して使おうとするのは、家族や友人など実は身近な人かも、、、、

またこれらの技術は、特にコンピューターに詳しくなくても、ネット上に流れている情報を集めるだけで、誰にでもできることです。

悪意のハッカーだけでなく、あなたの誕生日をはじめとするプライベート情報をよく知っている「身近な誰か」が軽い気持ちで試してしまうかもしれません。

事実、パスワードの盗用は家族や友人など身近な人の犯行が多いのです。

ブログ内の関連記事(新しいウィンドウで開きます)

 2019年7月16日、オバマ前大統領やビル・ゲイツ氏など世界的な有名人の公式アカウントが乗っ取られ、偽Twitterメッセージが全世界に送られて大きな被害が発生しました。「犯行の手口はソーシャルエンジニアリング」とされています。ソ[…]

socialengineering ソーシャルエンジニアリングのイメージ

またあなたが不用意にパスワードをメモしたものを、盗み見られている(ソーシャルエンジニアリングと言います)かもしれません。

身近な方に悪意はなくても、そこを経路に外部の悪人にもれてしまうこともあります。

デジタル遺品やデジタル遺産として残したアカウントが、推測や盗用で意図しない人に使われてしまったらどうなるでしょう?

 

まとめ:
簡単なパスワードを使うのは論外!本当に危険な行為なのです

以上のことから、類推されそうな簡単なパスワードを使うことは、「簡単に破られてとんでもないリスクがある行為」だとご理解いただけると思います。

デジタル終活に取り組むことを契機に、デジタル資産(デジタル遺品やデジタル遺産)のアカウントのパスワードを総チェックしましょう。

それこそがあなたがこれからデジタルを安心して使うことにつながり、「平穏な生活を守る鍵」となります。そして「デジタル遺産やデジタル遺品を守る鍵」ともなるのです。

ブログ内の関連記事(新しいウィンドウで開きます)

コンピューターの進歩によってパスワードの作り方の基準は変わっています。今では「8文字(8桁)のパスワードは弱くて危険」で「強いパスワードは定期的な変更は不要」が正しい考え方です。どうして8文字では危険なのか?最新の研究を元に、最強のパス[…]

長くて安全なパスワードを作るヒント
ブログ内の関連記事(新しいウィンドウで開きます)

パスワードには「使っただけで危険」な単語や、避けるべき文字の使い方。組み合わせ方があります。安全なパスワードのために「使ってはいけない言葉」「悪いパスワード例」「危険な単語」「危険な組み合わせ」を知りましょう。犯罪者は何十億ものパス[…]

ブログ内の関連記事(新しいウィンドウで開きます)

いくら安全でも、記憶できないパスワードは使えません。異常気象や地震、新型コロナなど、思いもかけないリスクが高まった今日、安全性と利便性を両立された「最強のパスワード管理の方法」を具体的にご説明します。安全なパスワードは作っても、どう[…]