長年にわたるセキュリティ意識向上の取り組みにもかかわらず、2025年に漏えいした60億件の認証情報の分析により、単純な数字列や一般的な単語が依然として数百万人のユーザーにとって主要な選択肢であり、ずさんなパスワード管理が続いていることが確認された。
このデータは、パスワード管理企業Specops Softwareが、親会社Outpost24の脅威インテリジェンスチームによる分析に基づいて公開したレポートによるものだ。
分析の結果、2025年に侵害された最も一般的なパスワード上位5つは「123456」「123456789」「12345678」「admin」「password」だった。
これらのパスワードは長年にわたり最も一般的な認証情報として挙げられており、最新データでもユーザー行動にほとんど変化がないことが示されている。
「123456」のようなパスワードは通常、個人アカウントで使用される一方、「admin」や「password」は、企業環境で使用されるネットワーク機器、IoTデバイス、産業用制御システム(ICS)のデフォルト認証情報であることが多い。
これらの認証情報を変更しないことは、重要システムへのアクセスを可能にし、組織に重大な影響を及ぼし得る。
Specopsはレポートの中で、「企業環境では、マルウェアに盗まれた認証情報がActive Directory(AD)、仮想プライベートネットワーク(VPN)、またはクラウドIDのパスワードとして再利用され、攻撃者に企業システムへの信頼されたアクセスを与えるという現実的なリスクが生じる」と述べた。
分析対象のパスワードの多くは「123456」や「admin」よりはわずかに複雑だったが、それでも「admin」「guest」「qwerty」「secret」「Welcome」「student」「hello」「password」といった予測可能な基本語を含んでいた。
Specopsは「passwordやhelloといった用語が繰り返し現れることは、個人的な利用というより運用上の利用を示唆している。最も頻繁に回収されたパスワード上位500件の分析では、インフラ、VPN、内部サービスに紐づく機能的な認証情報に明確な偏りが見られ、admin、root、userのバリエーションが含まれている」と述べた。
同社はまた、侵害されたパスワードに地域性や言語に結び付いたパターン(「Pakistan123」や「hola1234」など)も確認している。名前ベースのパターンも現れており、「Kumar@123」や「Rohit@123」といった例がある。
これらの侵害されたパスワードの多くはマルウェアによって盗まれ、(盗まれた認証情報の数に基づく)最も活発なものはLummaで、次いでRedLineだった。
Specopsは、フィッシング耐性のある認証やパスワードレス認証を導入している組織であっても、レガシーシステム、サービスアカウント、ディレクトリベースの認証のためにパスワードが依然として使用されている可能性が高いと指摘した。
同社は、侵害された認証情報の継続的な監視、作成時に予測可能なパターンをブロックすること、そして高リスクなすべてのアクセス経路および復旧ワークフロー全体にわたってフィッシング耐性MFAと強固な本人確認を強制することを含む、多層防御を推奨している。
翻訳元: https://www.securityweek.com/analysis-of-6-billion-passwords-shows-stagnant-user-behavior/
