Gizmodo運営企業で起きた2010年のパスワード流出事件を覚えていますか?

2015年1月27日

Gizmodoは「2014年に最も多く使われたパスワードランキング」を発表し、深く考えずに認証情報を設定した「おばかさんたち」を面白おかしく取り上げました。皮肉なことに、この話で思い出すのが2010年、Gizmodoを運営するGawker Mediaが不適切なパスワード管理の代名詞となった件です。同社はネットワークに侵入され、200,000近くの脆弱なパスワードを解読されたのでした。今回Gizmodoが晒しているパスワードと、Gizmodoの読者が2010年ごろに使っていたパスワードを比べてみると、面白そうではありませんか?

passwords

興味深いことに、2014年の人気(つまり役に立たない)パスワードランキングに入った25のパスワードのうち16が、2010年にGawkerから流出したパスワードとかぶっていました。Gawkerへの不正侵入で漏えいしたパスワードの上位50を見てみると、両方のランキングに入っていないパスワードは4つしかありません。ということは、「access」や「mustang」、または笑えるほど単純な「696969」というパスワードを使っている人の方が、大半の人よりはましなパスワードを設定したことになります。

話題になっている2014年のパスワードランキングは、同年中に漏えいしたデータに含まれていたパスワードをセキュリティ企業のSplashDataが集計したものです。ご覧のように、SplashDataは毎年ランキングを集計し、順位の変動をパスワードの横に示しています。そこで私は、Gawkerのパスワード上位50にも入っていたパスワードにアスタリスク(*)を付けてみました。

  1. 123456 (変動なし)*
  2. password (変動なし)*
  3. 12345 (17ランク↑)*
  4. 12345678 (1ランク↓)*
  5. qwerty (1ランク↓)*
  6. 123456789 (変動なし)
  7. 1234 (9ランク↑)*
  8. baseball (新)*
  9. dragon (新)*
  10. football (新)*
  11. 1234567 (4ランク↓)*
  12. monkey (5ランク↑)*
  13. letmein (1ランク↑)*
  14. abc123 (9ランク↓)*
  15. 111111 (8ランク↓)*
  16. mustang (新)
  17. access (新)
  18. shadow (変動なし)*
  19. master (新)*
  20. michael (新)*
  21. superman (新)*
  22. 696969 (新)
  23. 123123 (12ランク↓)*
  24. batman (新)*
  25. trustno1 (1ランク↓)*

面白いことに、ランキングで「新」となっているパスワードの80%は、4年以上前に流出したGawkerのパスワード上位50にも入っていました。もう1つ興味深いのは、以前からSplashDataのランキングに入っていた「123456789」が、不名誉なGawkerの上位50には入っていないことです。

公平を期するために述べさせていただくと、Gawkerから漏えいしたパスワードは暗号化されていました。ただ、そのうち188,000個のパスワードがあまりにも安易なものだったため、ハッシュから簡単に解読されてしまった、というだけの話です。パスワードを暗号化して保管することは、言ってみれば必要最低限のセキュリティ要件です。Gawkerへのハッキングから私たちが学んだのは、ITに詳しいとされている人であってもパスワード管理は不得意だ、ということです。

この件の教訓は、目新しくもなければ、目から鱗というものでもありません。皆、パスワードの扱いが下手、ということです

この件の教訓は、目新しくもなければ、目から鱗でもありません。人は皆、絶望的なまでにパスワードの扱いが下手、ということです。さらに言えば、セキュリティ全般に関してどうしようもないほど不得手です。だからこそ、IT業界とセキュリティ業界は、自らの手で問題に対処しなければなりません。このようなランキングが作成されるきっかけになった情報漏えいや、セレブのプライベートな写真が大量に流出した事件を、ユーザーのせいにするわけにはいかないのですから。

強力で覚えやすいパスワードの作成方法は、ご紹介できます(というか、以前紹介しました)。難しい話ではありません。どんなパスワードがいいのかは、誰もがよく理解しています。しかし実際には、脆弱なパスワードに伴うリスクをわかっていながら、無視してしまいます。適切なパスワードの作り方を知っていても、たくさんのアカウントごとに異なるパスワードを管理するのは、あまりにも面倒だと感じてしまうのです。

そのため、TwitterのDigitsやAppleのTouch IDなど、生体認証やSMS認証、2段階認証の取り組みには大きな期待が持てます。もちろん完ぺきな認証手段ではありませんが、新たな認証手段を試す機会を得られます。それによって、パスワードという最も不完全な認証手段と決別できる日が来るかもしれません。