日本の主要企業の社員が設定するパスワードの多くが脆弱であることが分かりました。

日経新聞社がGMOサイバーセキュリティ byイエラエの協力を得てドメイン情報などをもとに連結売上高上位100社についてダークウェブなどに2008年から22年ごろにかけて流出した社員のパスワード約2万5000件を収集しました。パスワードの管理ツールの米サイバーシステムズが提供するサービスを使い、パスワードの強度を４段階で判定しました。

強度は文字数や文字の種類が少なかったり、よく知られた言葉や既に流出しているパスワードと同じ言葉を利用していたりすると低くなる仕組みです。64%にあたる１万6275件はほぼ確実に攻撃者に推測されてしまう「不可」と判定されました。攻撃の成功確率が5割未満の「可」は4393件、成功確率４分の１未満の「良」は4405件。攻撃が原則不可能な「優」は173件しかありませんでした。

脆弱なパスワードの問題は繰り返し指摘されていますが状況は改善していません。サイバー攻撃対策を手掛ける一般社団法人JPCERTコーディネーションセンターがパスワードについて、12文字以上で大小のアルファベットや数字、記号を組み合わせるよう推奨し始めたのは18年。流出時期が判明している6549件のうち、18年以降に流出した3698件に絞って調べると「不可」は90%の3332件。「可」が320件、「良」は45件で「優」は1件しかありませんでした。

今回調査したパスワードで判明している漏洩元はSNSやチケット予約サイトなどのサービスです。IPA（情報処理推進機構）の調査によると、パソコン利用者の44.6%はパスワードを使いまわしています。

 

利便性と安全性を確保するための対策を企業は模索していく必要があります。