リモートワークやDXなどの普及、各種手続きがアプリになるなどしてデジタルプラットフォームにログインする回数が増加している。パスワード管理は万人にとって日常の悩みであると同時に、ビジネスパーソンにとってはもはや死活問題だ。各プラットフォームでそれぞれ異なるパスワードの使用が強く推奨されるにもかかわらず、使いまわしているのが現状だろう。

パスワードにまつわる調査

オープンソースのパスワードマネージャーを提供するBitwardenによる、パスワードに関する調査が世界規模で実施され、結果がこのほど発表された。

安全なパスワード管理の知識について、世界中で90%の回答者が「ある程度以上の知識を持っている」と答えている一方で、それが実際に活用されているかと言うとそうではないということが判明している。

本調査はアメリカ、ドイツ、イギリス、オーストラリア、日本のインターネットユーザー2000人を対象に実施したもの。データ漏洩やインターネットのセキュリティが繰り返し呼びかけられる中、まだ多くの人が脆弱なパスワードを使用し、パスワードの使いまわしをしている事実が明らかになった。

複数のサイトやアプリでパスワードを使い回しする人は84%、と聞いて耳が痛い人も多いだろう。日本でも、警察やクレジットカード会社がパスワードの使い回しによる「パスワードリスト攻撃」を呼びかけているがついついやってしまうのがこの使い回しだ。

また、21%の回答者が、パスワードを忘れたことによるリセット操作を「週に1回以上」していることが判明。パスワードの使い回しをしているのにもかかわらず忘れてしまうのか、パスワードの使い回しを避けたために忘れてしまうのか。パスワードの悩みはつきない。

さらに、55%の人が記憶だけに頼ったパスワードを使用していることを回答している。パスワードは覚えやすいものよりも、安全なものに設定する必要があると認識している人は68%いるのにもかかわらず、半数以上の人が記憶を頼りにパスワードを設定しているのが現状。

そして、パスワードマネージャーを利用しているのは回答者全体の約3分の1にとどまり、そのきっかけは「パスワードをしょっちゅう忘れる」ためであった。

厳しい調査結果の中でも明るい兆しは、2段階認証(2FA)の浸透だとしている。

全体の約4分の1にあたる23%の回答者が「データ漏洩の被害に遭ったことがある」とする世の中で、83%が「2段階認証の知識がある」と答えているからだ。職場で2FAを使用している人は73%、個人的なアカウントで使用している人は78%に上った。

リモートワークによる危機感

リモートワークが浸透し、職場以外でログインをする機会が格段に増えた昨今、リモートワークによるデータ漏洩やサイバー攻撃を恐れている人も多い。

職場への復帰が進む中で、勤務先にリモートワークの安全性に関する研修やツールを求める人が83%いた。昨年よりも今年、サイバー攻撃の恐れが高まるとする人も53%、脅威についての認識は高まっているようだ。

それではパスワードについてはどのような傾向が明らかになったのか。

9~15文字の長いパスワードを使用する人が60%。パスワードが必要なサイトを10~25件利用する回答者は41%で、うち32%は5~10件のサイトでそのパスワードを使いまわしている。

パスワードの使い回しで問題なのは、前述の「パスワードリスト攻撃」だが、同じくらいに危険なのが、分かりやすい(解読されやすい)パスワードの設定だ。世界で最もよく使われるパスワードは、ハッカーの手にかかれば1秒かからずに解読される。

パスワードマネージャーを提供する別の企業、NordPassの調査による「最もよく使われるパスワード」2022年版によると、第1位は「password」、次いで「123456」「123456789」だった。決して冗談ではなく、独立したサイバーセキュリティ研究員の3TBに及ぶデータ解析の結果だ。

これによると、500万人近くの人が「password」をパスワードとして利用中。さらにトップ20位にランクインしているパスワードのうち18個はハッカーが1秒以内に割り出せるものだとしている。

危ないパスワード

調査では国別のパスワードランキングも発表されている。

日本での第1位は「123456」、次いで「password」「1234」「12345678」と、パスワードセキュリティに通じている読者ならランキングを見ているだけでもヒヤヒヤする結果であろう。いずれもハッカーからすると1秒以内で解読できるものばかりだ。

ちなみにアメリカでは第1位が「guest」、次いで「123456」「password」「12345」「a1b2c3」。イギリスでは第1位が「password」、次いで「123456」「guest」「liverpool」のほか、「arsenal」や「chelsea」といったサッカークラブチーム名が多く、「football」というパスワードもトップ20に登場しているほど、お国柄を象徴しているのも興味深い。が、当然これに倣ってはいけないというレポートだ。

アメリカでは、昨年データ漏洩を経験した人が31%、うち53%がデータ漏洩を企業側から知らされたと回答。しかしながら、パスワードを家族と共有したことが一度もないと回答した人は45%、職場の同僚と共有したことがないと回答した人は57%にとどまった。

また、少なくとも月に1回はパスワードを忘れてリセットするとした37%と、リセットはほとんどしないとする30%がほぼ同数であったこともアメリカの特徴だとしている。イギリスでこの数字は、毎日または週に複数回リセットするとした人が35%、日本はわずか10%であった。

危機感の薄い日本

日本ではサイバー攻撃に遭ったことがあると回答した数が10%と、他国の平均の23%と比べて圧倒的に低いせいか、危機感が薄いのも特徴だ。

いま世界中に浸透しつつある「2FA」の浸透率は、職場で52%、個人アカウントで72%という結果。これは、職場の浸透率が個人利用よりも高い他の国の結果と逆転現象を起こした日本固有の結果となった。

銀行やクレジットカードなど、個人利用のサイトやアプリでの2段階認証がほぼ強制的に採用されている一方で、職場や企業でのセキュリティ対策がまだまだ脆弱であることを表しており、日本の改善点だと指摘されている。

パスワードシェアの危険も

Bitwardenはまた、この報告書に先立って「パスワードのシェア」についても警鐘を鳴らしている。

職場で使用するツールや文書のパスワード共有は、生産性がアップし、便利な協業を促進できるため日常業務に欠かせない。しかしながらそこには、パスワードの漏洩リスクがつきものであるとして、よくある方法ながらも避けるべき7つの習慣をあげている。

  1. Eメール:メールはその内容が暗号化されず、コンテンツがプロバイダのバックアップデータなどに保存されるため
  2. SMSショートメッセージ:メール同様、エンドツーエンドの暗号化がされておらず、情報はクラウドベースで保管される。SMSはパスワードを含め、機密情報を送信するのにふさわしくない
  3. スプレッドシート:クラウドベースのスプレッドシートを共有してパスワードを共有することは、シェアしたい人たちだけでなく、外部からの侵入にもさらされやすい
  4. 付箋:この時代においても、職場や家庭でパスワードのシェアに多く利用されているのが付箋という事実がある。言うまでもなく、様々な人の目に触れ、紛失したり、盗難したりする可能性は無限大だ。PCの端っこにパスワードや大事な情報を書いて、貼り付けている人を職場で見かけないだろうか
  5. メモ機能のアプリ:メモ機能のアプリに、会員番号やパスワード、ログイン情報を記入している人も多い。こうしたアプリは、初期設定で暗号化されていないため、機密情報の入力は避けるのがベストだ
  6. 記憶:調査では68%の回答者が「便利さよりも安全性が大事」と答えているのにもかかわらず、55%がパスワードの保管場所を「記憶」に頼っていると回答。デジタル化が進む中で、ログインとパスワードを使用する機会は増える一方、数十もの強力で複雑なパスワードを記憶するのは、もはや不可能ともいえる。特に記憶に頼っているうちは、「安易なパスワード」を「使いまわす」という2つのミスを同時に侵すことになりかねない。言うまでもなく、ハッカーが1つパスワードを解析したら、一巻の終わりだ
  7. ウェブサイトでのパスワードマネージャー:ウェブサイトを利用する際に、ログイン画面から「自動」でログイン名とパスワードが入力されることがある。この方法のリスクは、他のデバイスやスマホ、旅先などでログインしようとする際に、どちらも自動入力されないし、情報が自分の記憶に残っていない可能性もかなり高い

この調査結果に、自分のパスワードが含まれていたなら今すぐにリセットするべきだとBitwardenとNordPassの両社は警告している。

また、NordPassは、定期的にどのログインを利用しているか、また利用をやめたものはないか、自身で点検することを推奨。使わなくなったアカウントや、長らくログインしていないサイトやアプリの情報が知らない間にサイバー攻撃に遭い、悪用されている可能性があり、ログインしていないためにそれに気づけないからだ。

なんらかのサービスを利用するのに1度ログインしただけで、もはや記憶にすら残っていないアカウントはないだろうか。そう問われても思い出せないのが人間の記憶。記憶に頼ったパスワード管理を諦める理由が身に染みて分かる調査結果だった。

文:伊勢本ゆかり
編集:岡徳之(Livit