「123456」をまだ許容するのか? 最弱パスワードが示す“情シスの敗北”:「Z世代は安全」のうそとActive Directoryによる技術的封鎖
世界で最も使われているパスワードは、2025年も「123456」だった。なぜユーザーは脆弱な文字列を使い続けるのか。その責任を「社員のリテラシー」に押し付けないためにIT部門がやるべきことは。
「従業員へのセキュリティ教育を強化しています」――。そう胸を張る企業のActive Directory(AD)の中身をのぞくと、驚くべき実態が広がっていることがある。パスワード管理ツールを提供するNordPassが2025年11月21日に、セキュリティ情報サイトComparitechが2025年11月6日にそれぞれ発表した「2025年に最も使われたパスワードランキング」は、企業のセキュリティ担当者(情シス)にとって、不都合な真実を突き付けている。世界で最も使われているパスワードは、7年間の調査で6回目となる「123456」だった。さらに「admin」「password」といった、攻撃者が辞書攻撃で真っ先に試す文字列がトップ10に並んだ。ここで注目すべきは、「デジタルネイティブだからセキュリティ意識も高いはずだ」というZ世代(1997〜2007年生まれ)への期待が幻想に過ぎないという点だ。調査によれば、Z世代においても「12345」や「123456」がトップクラスに利用されている。つまり、新入社員が入社した瞬間、社内ネットワークにセキュリティホールが空く可能性があるということだ。
「教育」は無力なのか? データが示すユーザーの心理
併せて読みたいお薦め記事
パスワードの関連記事
NordPass
NordPassのレポート「Top 200 Most Common Passwords: Generations change, password habits remain」は、NordPassとNordStellar(Nord Securityの脅威露出管理プラットフォーム部門)が、サイバーセキュリティインシデントを専門とする独立研究者と協力して作成したものだ。
2024年9月〜2025年9月に発生した公開データ漏えいやダークWeb(通常の手段ではアクセスできないWebサイト群)のリポジトリを調査し、よく使われるパスワードのランキングを作成、分析した結果をまとめた。同レポートは、2019年から作成、公開している年次レポートの2025年版だ。
主なハイライト 「123456」が王座を維持
「123456」は2025年も、世界で最もよく使われたパスワードのランキングで首位を獲得した。2019年からの7年間の調査で「123456」が首位に立ったのは6回。同パスワードが首位を逃した年は、「password」が首位だった。
ランキングのトップ10のうち5件は、「123456」のような数字の羅列だ。文字列だけのパスワードでは、「admin」と「password」がトップ10入りした。
若い世代にも根強いあの習慣
レポートは、Z世代(1997〜2007年生まれ)、ミレニアル世代(1981〜1996年生まれ)、X世代(1965〜1980年生まれ)、ベビーブーマー世代(1946〜1964年生まれ)、サイレント世代(1946年以前生まれ)の各世代別に、トップ10のランキングを作成している。
インターネットが普及した環境で育ったZ、ミレニアル、X世代は、セキュリティ意識が高いと思われがちだ。だが、「12345」と「123456」は、どの世代でもランキングのトップクラスに位置している。「1234567」や「1234567890」といった単純な数字の羅列も、トップ10に入っている。
一方、高年齢層は「susana」や「maria」など、名前をパスワードに含める傾向があることも分かった。
パスワードの管理意識は依然として不足している
長年にわたってサイバーセキュリティの啓発活動がさまざまな場所で実施されてきた。しかしレポートによると、パスワード管理やセキュリティ習慣は年を経るに連れて改善されている訳ではないようだ。
特殊文字の使用が増加
2025年のトップ200ランキングでは32件のパスワードに特殊文字が含まれていた。2024年のランキングでは6件にとどまっていたため、特殊文字の使用が大幅に増加していることが分かる。最も多用されている特殊文字は「@」だ。
罵倒語を使ったパスワードが上位の国も
英語や他の言語の卑俗な言葉がパスワードに使われるのは珍しくない。国によっては、こうしたワードもランキングに入っている。
ラッキーナンバーを含めるアプローチも
パスワードにラッキーナンバーを含めるユーザーが多い国もある。例えば、中国では「111111」が4番目に人気があり、「888888」もトップ10入り目前だった。
「Password」の同義語も人気
「password」は、世界で最も人気のあるパスワードのワードの1つであり、さまざまな言語で多くのバリエーションを持つ。Nordpassによると、スロバキア語の「heslo」、フィンランド語の「salasana」、フランス語の「motdepasse」、スペイン語の「contrasena」など、調査したほぼ全ての国でランキングの上位に入っている。
名前と数字の組み合わせは定番
バリエーションが豊富なため、ランキング上位に入ることはまれだが、「kristian123」や「vivian12」のようなパスワードは、多くの国のランキングに登場し、2025年のトレンドの1つとなった。
ブランド名を使うケースも
「Cisco」「Motorola」「Telstra」「Vodafone」「Turktelekom」「Belong」「Burberry」「Apple」「Panasonic」「Netflix」など、企業やサービスの名称をセキュリティキーとして使う人もいる。特に、「Vodafone」はスペインとトルコでトップ20に入り、世界のランキングでも105位だった。
国名や都市名も一部の国で人気
「Colombia」に数字を加えた4つのバリエーションがコロンビアでトップ20に入り、「India@123」はインドで15位、世界ランキングでも70位に入った。
スポーツファンならではのパスワードも
サッカーが盛んな国や地域では、クラブ名や選手名がパスワードに使われる傾向があることも分かった。
パスワードを安全に保つヒント
NordPassは、パスワードを安全に保つ方法として、以下を勧めている。
- 強力なパスワードやパスフレーズを使う
- パスワードを使い回さない
- 定期的に見直す
- 多要素認証(MFA)を有効にする
- パスワード管理ツールを使う
- パスキーを使う
Comparitech
Comparitechは、2025年にデータ侵害フォーラムで流出した20億件以上の実際のアカウントパスワードを集計し、レポート「The most-used passwords of 2025」を作成、公開した。
同レポートのランキングのトップ10は以下の通り。
- 123456
- 12345678
- 123456789
- admin
- 1234
- Aa123456
- 12345
- password
- 123
- 1234567890
推測しやすいパスワードが目に付く結果に
推測しやすい昇順または降順の数字で構成されているパスワードが目に付く結果となった。
- パスワードに多く使われたワード上位1000種類のパスワードの4分の1が、数字の羅列で構成されていた。
- 調査対象となったパスワードの38.6%が「123」を、2%が「321」を含んでいた。
- 調査対象となったパスワードの3.1%が「abc」を含んでいた。
- 「111111」(18位)や「********」(35位)のような単一文字の繰り返しもあった。
一般的な単語やフレーズを含むパスワードも人気
上記した数字や文字列は、「password」「admin」「qwerty」といったワードと組み合わされている場合が見られた。
- 調査対象となったパスワードの上位1000件の3.9%が「pass」または「password」のバリエーションを含んでいた。
- 「minecraft」は100位にランクインした。なお、minecraftは7万ユーザーがパスワードに使用していた。「Minecraft」は2万ユーザーが使用していた。なお、首位の「123456」は760万ユーザーがパスワードに使用していた。
- 53位の「India@123」は順位としては高い傾向にあるが、ユーザーの地域が限定されるワードの組み合わせだ。
パスワードの長さの傾向は
セキュリティの専門家は、パスワードの長さを12文字以上とすることを推奨している。長くすることで、解読される可能性を低下させることが期待できるためだ。一方、調査結果は以下の通りだった。
- パスワードの65.8%が12文字未満だった。
- パスワードの6.9%が8文字未満だった。
- 16文字以上のパスワードは3.2%だった。
Comparitechは、「現代のパスワード解析プログラムは、脆弱なパスワードを瞬時に解読する。短いパスワードはブルートフォース(総当たり)攻撃に対して無力だ」と述べている。
Copyright © ITmedia, Inc. All Rights Reserved.