世界で最も使われているパスワードは、2025年も「123456」だった。なぜユーザーは脆弱な文字列を使い続けるのか。その責任を「社員のリテラシー」に押し付けないためにIT部門がやるべきことは。
「従業員へのセキュリティ教育を強化しています」――。そう胸を張る企業のActive Directory(AD)の中身をのぞくと、驚くべき実態が広がっていることがある。パスワード管理ツールを提供するNordPassが2025年11月21日に、セキュリティ情報サイトComparitechが2025年11月6日にそれぞれ発表した「2025年に最も使われたパスワードランキング」は、企業のセキュリティ担当者(情シス)にとって、不都合な真実を突き付けている。世界で最も使われているパスワードは、7年間の調査で6回目となる「123456」だった。さらに「admin」「password」といった、攻撃者が辞書攻撃で真っ先に試す文字列がトップ10に並んだ。ここで注目すべきは、「デジタルネイティブだからセキュリティ意識も高いはずだ」というZ世代(1997〜2007年生まれ)への期待が幻想に過ぎないという点だ。調査によれば、Z世代においても「12345」や「123456」がトップクラスに利用されている。つまり、新入社員が入社した瞬間、社内ネットワークにセキュリティホールが空く可能性があるということだ。
NordPassのレポート「Top 200 Most Common Passwords: Generations change, password habits remain」は、NordPassとNordStellar(Nord Securityの脅威露出管理プラットフォーム部門)が、サイバーセキュリティインシデントを専門とする独立研究者と協力して作成したものだ。
2024年9月〜2025年9月に発生した公開データ漏えいやダークWeb(通常の手段ではアクセスできないWebサイト群)のリポジトリを調査し、よく使われるパスワードのランキングを作成、分析した結果をまとめた。同レポートは、2019年から作成、公開している年次レポートの2025年版だ。
「123456」は2025年も、世界で最もよく使われたパスワードのランキングで首位を獲得した。2019年からの7年間の調査で「123456」が首位に立ったのは6回。同パスワードが首位を逃した年は、「password」が首位だった。
ランキングのトップ10のうち5件は、「123456」のような数字の羅列だ。文字列だけのパスワードでは、「admin」と「password」がトップ10入りした。
レポートは、Z世代(1997〜2007年生まれ)、ミレニアル世代(1981〜1996年生まれ)、X世代(1965〜1980年生まれ)、ベビーブーマー世代(1946〜1964年生まれ)、サイレント世代(1946年以前生まれ)の各世代別に、トップ10のランキングを作成している。
インターネットが普及した環境で育ったZ、ミレニアル、X世代は、セキュリティ意識が高いと思われがちだ。だが、「12345」と「123456」は、どの世代でもランキングのトップクラスに位置している。「1234567」や「1234567890」といった単純な数字の羅列も、トップ10に入っている。
一方、高年齢層は「susana」や「maria」など、名前をパスワードに含める傾向があることも分かった。
長年にわたってサイバーセキュリティの啓発活動がさまざまな場所で実施されてきた。しかしレポートによると、パスワード管理やセキュリティ習慣は年を経るに連れて改善されている訳ではないようだ。
2025年のトップ200ランキングでは32件のパスワードに特殊文字が含まれていた。2024年のランキングでは6件にとどまっていたため、特殊文字の使用が大幅に増加していることが分かる。最も多用されている特殊文字は「@」だ。
英語や他の言語の卑俗な言葉がパスワードに使われるのは珍しくない。国によっては、こうしたワードもランキングに入っている。
パスワードにラッキーナンバーを含めるユーザーが多い国もある。例えば、中国では「111111」が4番目に人気があり、「888888」もトップ10入り目前だった。
「password」は、世界で最も人気のあるパスワードのワードの1つであり、さまざまな言語で多くのバリエーションを持つ。Nordpassによると、スロバキア語の「heslo」、フィンランド語の「salasana」、フランス語の「motdepasse」、スペイン語の「contrasena」など、調査したほぼ全ての国でランキングの上位に入っている。
バリエーションが豊富なため、ランキング上位に入ることはまれだが、「kristian123」や「vivian12」のようなパスワードは、多くの国のランキングに登場し、2025年のトレンドの1つとなった。
「Cisco」「Motorola」「Telstra」「Vodafone」「Turktelekom」「Belong」「Burberry」「Apple」「Panasonic」「Netflix」など、企業やサービスの名称をセキュリティキーとして使う人もいる。特に、「Vodafone」はスペインとトルコでトップ20に入り、世界のランキングでも105位だった。
「Colombia」に数字を加えた4つのバリエーションがコロンビアでトップ20に入り、「India@123」はインドで15位、世界ランキングでも70位に入った。
サッカーが盛んな国や地域では、クラブ名や選手名がパスワードに使われる傾向があることも分かった。
NordPassは、パスワードを安全に保つ方法として、以下を勧めている。
Comparitechは、2025年にデータ侵害フォーラムで流出した20億件以上の実際のアカウントパスワードを集計し、レポート「The most-used passwords of 2025」を作成、公開した。
同レポートのランキングのトップ10は以下の通り。
推測しやすい昇順または降順の数字で構成されているパスワードが目に付く結果となった。
上記した数字や文字列は、「password」「admin」「qwerty」といったワードと組み合わされている場合が見られた。
セキュリティの専門家は、パスワードの長さを12文字以上とすることを推奨している。長くすることで、解読される可能性を低下させることが期待できるためだ。一方、調査結果は以下の通りだった。
Comparitechは、「現代のパスワード解析プログラムは、脆弱なパスワードを瞬時に解読する。短いパスワードはブルートフォース(総当たり)攻撃に対して無力だ」と述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
