資料ダウンロード

約8,700万件のパスワードは1分未満で解読される 脆弱性調査レポート【Kaspersky】

Kasperskyは、パスワードの強度を測定し、ブルートフォース攻撃やパスワード類推攻撃に対する脆弱性の評価を調査したレポート公表した。
調査は、インフォスティーラー(情報窃取型マルウェア)によって盗まれ、ダークネット上に公開されていた1億9,300万件のパスワードを対象に解析されている。

強力なパスワードはわずか23%

調査結果によると、解析された全パスワードのうち、1分未満で解読される可能性があるパスワードは45%に達し、約8,700万件に上ることが判明。
対して、1年以上かかる強力なパスワードは約4,400万件(23%)という結果だったという。

【パスワード解読にかかる時間と割合】

解読にかかる時間調査対象パスワードに占める割合  件数(万件)
1分未満45%8,685
1分以上~1時間未満14%2,702
1時間以上~1日未満8%1,544
1日以上~1カ月未満6%1,158
1カ月以上~1年未満4%772
1年以上23%4,439

Kasperskyがユーザーのデバイスやシステムから収集したセキュリティ情報によると、2023年にはパスワードスティーラーを使用した攻撃が3,200万件以上発生していることが明らかになっている。
多くのパスワードは辞書にある単語、名前、日付、シーケンス(「12345」や「qwerty」など)を含んでおり、類推アルゴリズムで簡単に解読されているとのこと。
パスワードに含まれる一般的な単語やフレーズには以下の特徴が確認されている。

名前:「ahmed」「nguyen」「kumar」「kevin」「daniel」
よく使われる単語:「forever」「love」「google」「hacker」「gamer」
シーケンスなど:「password」「qwerty12345」「admin」「12345」「team」

鍵はランダムなパスワード

Kasperskyは、パスワードの強化対策として、以下の方法を推奨している。

・パスワードマネージャーを使用し、マスターパスワードのみを覚える。
・各サービスごとに異なるパスワードを使用。
・誕生日や家族の名前など、容易に推測される情報を避ける。
・2要素認証(2FA)を有効化する。
・セキュリティソリューションを使用し、インターネットやダークウェブを監視。

Kasperskyのエキスパートであるユリヤ・ノヴィコワ氏は、「人は無意識に辞書にある単語や名前、番号などを含む『人間的な』パスワードを作成しがちです。これを踏まえ、信頼性の高いパスワードマネージャーを使用して、完全にランダムなパスワードを生成することが最も安全です」と述べている。

【参考記事】
Kasperskyレポート:1億9,300万件のパスワードを対象に、さまざまな解読手法に対する強度を分析
https://www.kaspersky.co.jp/about/press-releases