190万人がパスワードに「123456」を使用、アドビの情報流出で判明
2013/11/07 07:30
アメリカのAdobe Systemがハッキングを受けてユーザー情報が流出した件で、アメリカのセキュリティ関連会社【Stricture Consulting Group】は2013年11月3日、流出したパスワードを検証し、多くのユーザーが安直なパスワードを用いていることを明らかにした。もっとも多く使われていたのは「123456」で、確認件数は190万件以上、全流出判明数の1.5%近くに及んでいた(【SCGのCEO、Jeremi Gosney氏による該当公開ツイート】、【公開ファイル:Top 100 Adobe Passwords with Count】)。
スポンサードリンク
↑ Adobeの情報流出で判明した、使用者の多いパスワード(SCG調べ)
今件流出問題は2013年10月3日に事態が発覚し、少なくとも3800万人が影響を受けていることが明らかになっている(【Adobe Breach Impacted At Least 38 Million Users】)。不正にアクセスを受けたのはユーザーIDや暗号化されたパスワード、名前、各種カード番号など。
Jeremi Gosney氏は今回発表した解析データについて、「かなり自信を持った内容ではあるが、実際に検証する方法が無い。暗号鍵も保有していない」と事前に説明した上で、「アドビが暗号化の際にハッシュでは無くECB(ブロック暗号利用モードの一つ。ある鍵で同一文を暗号化すると同一の暗号文となるため、解読がしやすい)を使い、全パスワードに同じ鍵を用いていたことに加え、平文で保存していたパスワードを推測するためのヒントにより集計が出来た」と解説している。そしてこれらのパスワードを利用しているユーザーに対し、安易な組み合わせであることから、(すでにアドビから通達がなされているばずだが)変更を行うよう指摘している。
パスワードの上位はいずれも簡単な数字、あるいはアルファベットの羅列であったり、容易に想像が出来る単語の言い回しで占められている。例えば最上位の「123456」は、今回検証対象となった約1億3000万件のうち、実に1.47%の人が利用していた。
また今件がアドビ関連のものであることから、固有名詞としてそれらの商品名も使われている事例が多いのが特徴的。これらの文字列が使われたのは、ひとえに「覚えやすい」「使いやすい」、さらには多分に「他でも使っている」からだと考えられる。
しかしながら今件データからも分かる通り、自分自身にとって覚えやすい、使い易い文字列は、往々にして他人も同じ発想をするものであり、また同時に悪意の第三者も容易に使用しうるものである。利便性と安全性を図りにかければ、安全性に重きを置くのは当然の話なのだが、人は概して「自分は大丈夫、のはず」と利便性を優先するために都合の良い解釈をしてしまいがち。
アドビの商品に限らず、思い当たる節があれば、今すぐにでも変更することをお勧めしたい。
■関連記事:
【パスワード管理方法、8.5%は「書いた紙をパソコンなどの周囲に貼る」】
【2012年でもっとも人気のある、そして危険なパスワードはやっぱり「password」】
※2013.11.07. 20:30 グラフの誤表記を修正しました
スポンサードリンク