← Back to Blog

攻撃者が人間作成のパスワードを好む理由

2025-12-23

この記事は、公開されているサイバーセキュリティ研究、業界レポート、および広く受け入れられているセキュリティ慣行に基づいています。個人的な経験に言及する場合は、明示的に述べています。

多くの人が忘れてしまった侵害 — しかし忘れるべきではない

2012年、LinkedInは当時史上最大規模のデータ侵害の一つに見舞われました。後の分析によると、約1億6700万件のアカウント記録が流出し、そのうち約1億1700万件にメールアドレスとパスワードハッシュが含まれていました。

セキュリティチームが解読されたパスワードを調査したところ、その結果は痛いほど馴染みのあるものでした。password1linkedin123、および同様の手抜きの選択が何百万も現れました。さらに興味深く、そして心配なことに、L!nk3d1n2020のように一見賢そうに見えるパスワードでさえ、すぐに破られました。なぜでしょうか?それは、人間がほぼ必ず使用するパターンに従っていたからです。

私はサイバーセキュリティのペネトレーションテスト(侵入テスト)に15年以上携わってきました。私の仕事は、実際の攻撃者が依存するのと同じ手法を使用して、合法的にシステムに侵入することです。パスワードは私にとって理論上の話題ではありません。それは私が毎日実際に破られるのを見ているものです。

パスワードは実際どのように攻撃されるのか

なぜ一部のパスワードは生き残り、他はそうでないのかを理解するには、攻撃者の側から見る必要があります。攻撃者はパスワードを一つずつ推測して座っているわけではありません。彼らはすべてを自動化しています。

  1. 辞書攻撃 (Dictionary Attacks): これらは、長年のデータ侵害から収集された実際のパスワード、単語、フレーズ、およびバリエーションの膨大なコレクションに依存しています。これらの辞書には数十億のエントリが含まれており、増え続けています。
  2. ルールベース攻撃 (Rule-Based Attacks): これらは人間の創造性に対して壊滅的に効果的です。ツールは一般的な習慣を自動的に適用します:「o」を「0」に交換する、最後に「123」や「!」を追加する、最初の文字を大文字にする、年を挿入するなどです。ほとんどの「賢い」パスワードはここで破られます。
  3. ブルートフォース (Brute Force): 可能なすべての組み合わせを試すことです。これは恐ろしいように聞こえますが、最新のハッシュアルゴリズムで保存された長く、真にランダムなパスワードに対しては、単に時間がかかりすぎるため、ブルートフォースは急速に非現実的になります。

自己作成パスワードの問題点

私たちは自分で発明したパスワードを好みます。なぜなら、それらは個人的で覚えやすいと感じるからです。残念ながら、研究と経験は、それらが非常に予測可能であることも示しています。

  • パターンは繰り返される: カーネギーメロン大学の研究を含む大規模な研究は、一貫して同じ構造を示しています:単語または名前、最初の文字が大文字、最後に数字または記号。内容は変わりますが、形は同じままです。攻撃者がその構造をモデル化すると、クラッキングは劇的に速くなります。
  • 長さの限界: ほとんどのユーザー作成パスワードは8〜10文字です。人々が長い方が安全であることを知らないからではなく、記憶力が私たちをより短い文字列へと追いやるからです。
  • 個人情報の流出: 誕生日、ペットの名前、記念日など、人々はそれらを常に使用しています。そしてソーシャルメディアの時代では、攻撃者は推測する必要さえないことがよくあります。

なぜランダムパスワードは異なるゲームなのか

**安全なランダムパスワード生成器**によって作成されたパスワード(r8$NpL#2qW9のようなもの)は、単に「より複雑」なだけではありません。それは根本的に異なります。

各文字は独立して選ばれます。単語も、置換も、人間の論理もありません。その一つの事実が、攻撃者の最も強力なツールである辞書とルールを取り除きます。

数字の観点から見ると:

  • 小文字のみを使用した8文字のパスワードは約26⁸通りの可能性(約2090億)があります。
  • 大文字、数字、記号を加えると、突然約95⁸(約6000兆)になります。
  • それを12文字に増やすと、空間は天文学的に大きくなります。

しかし、本当の利点は単なるサイズではありません。ランダムパスワードは攻撃者にブルートフォースを強制し、それは遅く、高価で、多くの場合努力に見合わないということです。

実際にこれらのパスワードを破るとはどういうことか

ペネトレーションテスターの視点から見ると、その違いは明らかです:

| パスワードの種類 | 例 | 攻撃者の手法 | 解読にかかる時間 | | :--- | :--- | :--- | :--- | | 自己作成 | Tiger2021! | 辞書 & ルールベース | 数分〜数時間 | | ランダム生成 | r8$NpL#2qW9 | 純粋なブルートフォース | 数年 / 数世紀 |

パスワードがbcryptやArgon2のようなもので適切にハッシュ化されている場合、ランダムな文字列に対するブルートフォースは、攻撃を実行不可能にする時間枠を意味します。現実世界のほとんどのケースでは、攻撃者は単にあきらめて次に行きます。

本当のトレードオフ:人間 vs ランダム性

ランダムパスワードの最大の弱点はセキュリティではなく、使いやすさ(ユーザビリティ)です。人間は無意味な文字列を覚えるのが苦手です。それがパスワードセキュリティの中心的な緊張関係です:

  • 人間がよく覚えられるパスワードは弱い傾向があります。
  • 強力なパスワードは覚えにくい傾向があります。

現代のセキュリティ慣行は、そのギャップを埋めるために存在しています。

今日実際に機能するもの

業界のコンセンサスと現実世界の経験に基づくと:

  1. パスワードマネージャーを使用する: Bitwarden1Passwordのようなツールを使用すると、1つの強力なマスターパスワードに頼るだけで、他はすべて長く、ランダムで、ユニークなものにできます。これはほとんどの人にとって最良の選択肢と広く考えられています。
  2. 覚える必要がある場合は、長さを使用する: 関連性のない単語の羅列(例:coffee-zebra-battery-stapler)は、短く記号の多いパスワードよりも攻撃に強く、覚えやすいことがよくあります。
  3. パスワードを使い回さない: 1つのサイトが侵害されると、使い回しはドミノ効果を引き起こします。
  4. MFAを有効にする: メール、銀行、クラウドアカウントなど、常に多要素認証を使用してください。
  5. 侵害の露出を確認する: **Have I Been Pwned**のようなサービスを使用すると、自分のメールアドレスが既知の侵害データセットに含まれているかどうかを確認できます。

最後に

これは、人間と機械のどちらが「より良い」パスワードを作るかという哲学的な議論ではありません。これはリスク管理に関するものです。

コンピュータはランダム性を生成するのが得意です。人間は1つの秘密を守り、MFAのようなプロンプトに反応するのが得意です。最も安全なアプローチは、それぞれが得意とすることをさせることです。

セキュリティをアップグレードする準備はできましたか?今すぐ強力なオフラインパスワードを生成して、アカウントを即座に保護しましょう。