National Cyber Security Centre (NCSC: 英国国家サイバーセキュリティセンター)は4月21日(米国時間)、「National Cyber Security Centre - Passwords, passwords everywhere」において、Troy Hunt氏と協力して、同氏が過去に漏洩したパスワードを収集しているWebサイト「Have I Been Pwned」のデータから使ってはいけないパスワードトップ10万を公開した。
データはPwnedPasswordTop100k.txtにおいてテキストファイルで公開されており、このファイルに使っているパスワードが含まれている場合は直ちにパスワードの変更を実施したほうがよいとされている。
-
National Cyber Security Centre - Passwords, passwords everywhere
「Have I Been Pwned」は過去のデータ漏洩インシデントで流出したアカウントデータを整理したサイトで、メールアドレスを入力してそのアドレスに関連するアカウントデータが流出しているかどうかをチェックできるもの。
今回、National Cyber Security Centreから公開されたリストはHave I Been Pwnedのデータがベースになっており、過去に流出したパスワードのうち使われている数の多いもの上位10万が含まれている。
公開されたデータのうち、上位100のパスワードは次のとおり。
| 順位 | 漏えいしているパスワード |
|---|---|
| 1 | 123456 |
| 2 | 123456789 |
| 3 | qwerty |
| 4 | password |
| 5 | 111111 |
| 6 | 12345678 |
| 7 | abc123 |
| 8 | 1234567 |
| 9 | password1 |
| 10 | 12345 |
| 11 | 1234567890 |
| 12 | 123123 |
| 13 | 000000 |
| 14 | iloveyou |
| 15 | 1234 |
| 16 | 1q2w3e4r5t |
| 17 | qwertyuiop |
| 18 | 123 |
| 19 | monkey |
| 20 | dragon |
| 21 | 123456a |
| 22 | 654321 |
| 23 | 123321 |
| 24 | 666666 |
| 25 | 1qaz2wsx |
| 26 | myspace1 |
| 27 | 121212 |
| 28 | homelesspa |
| 29 | 123qwe |
| 30 | a123456 |
| 31 | 123abc |
| 32 | 1q2w3e4r |
| 33 | qwe123 |
| 34 | 7777777 |
| 35 | qwerty123 |
| 36 | target123 |
| 37 | tinkle |
| 38 | 987654321 |
| 39 | qwerty1 |
| 40 | 222222 |
| 41 | zxcvbnm |
| 42 | 1g2w3e4r |
| 43 | gwerty |
| 44 | zag12wsx |
| 45 | gwerty123 |
| 46 | 555555 |
| 47 | fuckyou |
| 48 | 112233 |
| 49 | asdfghjkl |
| 50 | 1q2w3e |
| 51 | 123123123 |
| 52 | qazwsx |
| 53 | computer |
| 54 | princess |
| 55 | 12345a |
| 56 | ashley |
| 57 | 159753 |
| 58 | michael |
| 59 | football |
| 60 | sunshine |
| 61 | 1234qwer |
| 62 | iloveyou1 |
| 63 | aaaaaa |
| 64 | fuckyou1 |
| 65 | 789456123 |
| 66 | daniel |
| 67 | 777777 |
| 68 | princess1 |
| 69 | 123654 |
| 70 | 11111 |
| 71 | asdfgh |
| 72 | 999999 |
| 73 | 11111111 |
| 74 | passer2009 |
| 75 | 888888 |
| 76 | love |
| 77 | abcd1234 |
| 78 | shadow |
| 79 | football1 |
| 80 | love123 |
| 81 | superman |
| 82 | jordan23 |
| 83 | jessica |
| 84 | monkey1 |
| 85 | 12qwaszx |
| 86 | a12345 |
| 87 | baseball |
| 88 | 123456789a |
| 89 | killer |
| 90 | asdf |
| 91 | samsung |
| 92 | master |
| 93 | azerty |
| 94 | charlie |
| 95 | asd123 |
| 96 | soccer |
| 97 | FQRG7CS493 |
| 98 | 88888888 |
| 99 | jordan |
| 100 | michael1 |
1位は123456で、2位は123456789だという。これにqwerty、password、111111、12345678が続いている。上位のパスワードは同じキーの繰り返し入力や、左から右に何個といった規則性のあるキーボード入力を行うことで現れるものや、単語が使われていることが多い。
こうしたデータはすでに広く公開されているため、アカウントへの不正侵入を試みる攻撃者によって使われる可能性が高い。National Cyber Security Centreは公開されたデータに使用しているパスワードが含まれている場合は、ただちにパスワードを変更することを推奨している。使用しているパスワードがリストに含まれているかどうかは、パスワードをブラウザで表示してテキスト検索したり、ダウンロードしてきてエディタで検索したりするなどすれば調べることができる。
Amazonをかたるフィッシング詐欺が増加、ヤマト運輸や東京電力も続く
