データセキュリティ企業の米Impervaは1月21日(現地時間)、12月中旬にハッキングにより3,000万人以上の会員データとID/パスワード情報を流出したSNSサイトのRockYou!の件について、ここで流出したパスワードの分析結果を発表した。最も頻繁に利用されていたのは「123456」や「password」といった数字の羅列や単純なキーワードで、ほとんどパスワードの意味を成していないケースが目立ったという。

RockYou!から流出した3,200万件のパスワードのうち、最も利用されている組み合わせトップ10を抽出したが次の一覧だ。

• 123456
• 12345
• 123456789
• Password
• iloveyou
• princess
• rockyou
• 1234567
• 12345678
• abc123

Impervaによれば、流出パスワード全体のうちの約半分が、パスワードに「名前」「スラング」「辞書にある言葉」といった単純なキーワードのほか、「連続した数字」「キーボードの並び文字を入力したもの(たとえば "qwerty" など)」といったすぐに思いつく組み合わせのオンパレードだったという。中でも最も多かったのが「123456」というパスワードだ。

米Imperva CTOのAmichai Shulman氏は「皆は貧弱なパスワードの組み合わせが、最小の労力での自動攻撃を許す結果につながる。たとえば1人のハッカーが毎秒ごとに新規アカウントを1つ、言い換えれば17分ごとに1,000件のアカウントのハッキングが可能ということだ」と警鐘をうながす。特に単純なパスワードは、自動攻撃手法としては最もオーソドックスな "ブルートフォース" のような辞書攻撃が容易であり、非常に危険性が高い。適切な強さのパスワードをユーザーや管理者がきちんと設定し、大量ハッキングが行われるようなことのないよう気を付けなければならない。

自身がオフィスで使っているのと同じパスワードをFacebookでも使っている従業員は、結果として安全ではないパスワードで企業システムの安全性を損なう危険性をはらんでいる。Shulman氏によれば、こうしたパスワード問題は過去20年間ほとんど進化しておらず、1990年にUNIXパスワードに関するある調査が報告していたユーザーのパスワード設定傾向は、今日のそれとほとんど似通っているという。「パスワードのセキュリティについて皆が真剣に考えるときが来たのであり、それがデータセキュリティにおける最初の重要な一歩だ」と同氏は結んでいる。