パスワード使い回しは8割超 危険な運用をやめない人々の胸の内：「紙のメモ」もまだ現役

複数のWebサービスでパスワードを使い回す行為は、連鎖的な不正アクセスの元になり得る。トレンドマイクロの調査は、多くの利用者がパスワード管理に苦悩し、アナログな手法に頼っている実態を浮き彫りにした。

[TechTargetジャパン]

　多様なWebサービスを利用する際、サービスごとに異なるパスワードを設定し、それらを適切に管理することはサイバーセキュリティにおける基本動作だ。しかし現実には、多くの利用者がパスワードの作成や管理に苦慮し、安易な運用を続けている。

　セキュリティベンダーのトレンドマイクロは2026年3月24日、「パスワード・パスキーの利用実態調査2026」の結果を発表した。同調査は、2026年2月20日から2月22日にかけて実施されたものだ。対象となったのは、IDとパスワードでのログインが必要なWebサービスを日常的に利用している、日本国内居住の18〜69歳の男女1034人だ。

　調査結果において最も懸念されるのは、複数のWebサービス間で同じパスワードを使い回している利用者が8割を超える高水準にあることだ。生体認証などの新しい技術が登場しているにもかかわらず、利用者の行動変容は一朝一夕には進んでいない実態が浮き彫りになっている。

　長年にわたって解決されていないパスワード管理の課題に対し、近年普及が進むパスワードレスの認証技術「パスキー」（Passkey）が、この硬直した状況を打ち破る一手として期待されている。

編集部のお薦め記事

なぜ駄目だと分かっていてもパスワードを使い回すのか

　パスワードを使い回す理由を尋ねた設問では、主な理由として「異なるパスワードを設定すると忘れてしまう」（74.3％）、「異なるパスワードを考えるのが面倒」（48.3％）が挙がった。設定したパスワードの管理方法については、「自身の記憶に頼る」（40.9％）あるいは「紙のメモやノートに記録する」（34.3％）というアナログな手法が上位を占めた。年代別に見ると、39歳以下の若年層ではスマートフォンのメモ帳やWebブラウザの保存機能といったデジタルツールを活用する傾向が見られるものの、50代以上では紙媒体での管理が主流になっている。利用するサービスが増え続ける現状において、記憶力や手書きのメモに依存した管理手法はすでに限界を迎えていると言える。

　こうした管理の甘さは、攻撃者にとって格好の標的になる。調査では、過去に不正アクセスや情報流出の被害に遭った経験を持つ利用者が1割以上（14.7％）に上ることが示された。万が一、あるサービスから認証情報が漏えいした場合、パスワードを使い回していると「アカウントリスト攻撃」の被害に直結する。これは、流出したIDとパスワードの組み合わせを用いて、攻撃者が他の複数サービスに対して自動的に不正ログインを試みる手口だ。

　被害経験者が事後に取った対策を見ると、「被害を受けたアカウントのパスワードのみを変更した」という回答が50.7％を占める一方で、「利用している全てのアカウントのパスワードを変更した」（21.7％）、「多要素認証を設定した」（19.7％）といった、二次被害を念頭に置いた抜本的な対策を講じる割合も増加傾向にあるという。利用者の間でも、連鎖的なアカウント乗っ取りに対する危機意識は徐々に高まりつつある。

パスキーは広く認知されている一方で普及には課題も

　このようなパスワード運用にまつわる構造的な課題を解決する手段として、パスキーへの移行がある。パスキーは、スマートフォンの指紋認証や顔認証、画面ロック解除の仕組みを利用してサービスにログインする技術だ。複雑な文字列を記憶したり、都度入力したりする手間を省きながら、フィッシング詐欺やアカウントリスト攻撃といったパスワードに関する攻撃リスクを大幅に低減できる。

　調査結果によれば、パスキーという言葉の認知度はすでに9割を超えており、パスキーを提供しているWebサービスの利用者の中では、87.7％がその機能を有効にして活用している。利用を開始した理由については、「二段階認証よりも手順が楽」（41.8％）、「パスワード入力の煩わしさがない」（40.1％）といった利便性を評価する声が目立つ。

　一方で、パスキーの普及に向けた課題も明確になっている。利用者の3割以上が「スマートフォンを機種変更する際の引き継ぎ」や「スマートフォンの紛失／故障時にログインできなくなること」に対する不安を抱いている。パスキーが今後のデジタル社会における標準認証技術として根付くためには、サービスを提供する企業が、こうした利用者の懸念を先回りして取り払うことが求められる。