Techstrong Groupは12月24日(米国時間)、Security Boulevardの記事「19 Billion Passwords Leaked: Essential Tips for Your Protection - Security Boulevard」において、すべてのユーザーが実践すべきパスワードの侵害対策を伝えた。

同記事では過去20年間に190億件のパスワードが流出したと主張し、個人および企業に深刻な影響があると指摘。すべてのユーザーにアカウントを保護するように呼びかけている。

この190億件の流出については根拠が示されていないが、2025年4月30日にCybernewsが公開した記事「19 billion passwords leaked, 94% reused or weak, study reveals | Cybernews」などを情報源にしているものとみられる。Cybernewsは2024年4月以降の1年間に流出した認証情報の公開データセットを収集し、その中から重複込みで約190億件のパスワードを確認している。

  • 19 Billion Passwords Leaked: Essential Tips for Your Protection - Security Boulevard

    19 Billion Passwords Leaked: Essential Tips for Your Protection - Security Boulevard

なぜ、パスワードを使用しないほうがよいのか

パスワードの強化は古くから重要なセキュリティ対策として呼びかけられてきたが、その実効性は乏しく、流出した既知のパスワードを利用する例が後を絶たない。そのようなユーザーに英数字記号の利用を強制しても「Password1!」など、脆弱なパスワードを利用する傾向が調査から明らかになっている(参考:「NIST、新しいパスワードガイドライン公開 - これまでの常識を覆す新ルール | TECH+(テックプラス)」)。

そこで近年はパスワードの強化ではなく、パスワードを使用しない新しい認証方式に注目が集まっている。その有力候補が「パスキー」だ。GoogleやMicrosoftなど大手IT企業が運営するプラットフォームを中心に広がりを見せており、将来的にはパスワードのないオンライン環境を目指す方針が示されている。

パスキーの利用にはハードウェア暗号を搭載した対応デバイスが必要になるが、最近のスマートフォンやPCの多くが対応しており難易度はそれほど高くない。スマートフォンの顔認証、指紋認証、PINコード、Windows 11のWindows Hello(要アカウント)などから利用でき、複数デバイス間で認証情報を共有することも可能だ。

パスワードを利用する場合の推奨事項

パスキーへ移行せず、パスワードの利用を続ける場合はパスワードマネージャーおよび多要素認証(MFA: Multi-Factor Authentication)の導入が推奨されている。前者はパスワード管理を容易にし、一意かつ強力なパスワードの使用を可能にする。またパスワードの自動入力機能を利用することで、フィッシング攻撃の検知にも活用できる。

後者はパスワードが流出した際に、不正アクセスを防止する最後の砦となる。ワンタイムパスワード(OTP: One Time Password)を入力する方式や個人情報の入力を求めるタイプなどがあり、これら情報を知らない攻撃者の侵入を阻む。ショートメッセージサービス(SMS: Short Message Service)を使用する方式や、個人情報の入力を求める方式はリスクがあり推奨されない。

オンライン認証はサービス利用者の識別に欠くことのできない重要な機能だ。サイバー犯罪者にアカウントを乗っ取られることのないよう、パスワード保護の積極的な強化が望まれている。