企業動向

「admin」が日本で最も使われるパスワードに、IoT機器の乗っ取りリスク高まるか NordVPN調査

NordVPNは、「データプライバシーデー」に合わせて、日本国内で最も多く使われているパスワードに関する調査結果を発表しました。2025年の調査では「admin」が1位となり、IoT機器などの初期設定パスワードが変更されずに利用されている実態が浮き彫りになり、生活インフラの乗っ取りリスクが高まっている可能性を指摘しています。

調査概要と「admin」が示す新たなリスク

この調査は、NordPassとNordStellarが独立系のサイバーセキュリティ研究者と協力し、2024年9月から2025年9月にかけて公開されたデータ侵害およびダークウェブ上のリポジトリを統計的に分析したものです。世界44カ国のパスワードデータが対象で、個人の特定につながるデータは一切含まれていません。

日本国内の調査結果では、従来の「最弱のパスワード」とされる「123456」ではなく、「admin」が首位となりました。この結果は、パスワードのセキュリティリスクが、単なる「複雑さの不足」から、IoT機器などの「初期設定を変更せずに利用する」ことへと変化していることを示唆しています。

「admin」は、Wi‑Fiルーターやネットワークカメラ、スマート家電といった多くのIoT機器の管理画面で、出荷時の初期パスワードとして広く使用されています。調査の結果、購入後に設定変更が行われていないデバイスが国内に多数存在することが判明したと同社は述べています。こうした状況は、ハッカーにとって家庭内ネットワークへの侵入や、IoT機器を踏み台にしたサイバー攻撃を実行するリスクとなり得ます。

日本特有の脆弱性と「工夫したつもり」のパスワード

調査では、日本特有の人名を含む文字列や、推測されやすい入力パターンも依然として上位を占めていることが明らかになりました。

例えば、「yamamoto2580」が6位にランクインしています。自分の名前と数字の組み合わせは、SNSなどの公開情報と照合されやすく、ハッカーが日本人の氏名リストや日本の文化・言語に特化した辞書を用いてパスワードを生成する可能性があるとされています。

また、ユーザーが複雑化したつもりのパスワードも上位に登場しています。12位の「1qaz2wsx」(キーボードの左端を縦に入力したもの)や、18位の「P@ssword123456」(「a」を「@」に置換したもの)などがその例です。ハッカーにとって、このような「物理的パターン」や「典型的な文字置換」はすでに広く知られており、攻撃用の組み合わせとしてデータベース化されているため、短時間で看破される可能性があると同社は分析しています。

日本のパスワードランキングTop10
2025年 日本で最も使われるパスワード Top 20より上位10件を抜粋

ハッカーによる攻撃手法と防御策

今回の調査において、ハッカーは単に手作業でパスワードを推測しているだけでなく、高度な手法を用いて効率的に攻撃を仕掛けている実態が再確認されました。主な攻撃手法としては以下のものが挙げられています。

  • ブルートフォース攻撃(総当たり攻撃): 自動化されたアルゴリズムを使用し、あらゆる文字の組み合わせを高速で試行する手口です。「admin」や「123456」のような単純なパスワードは、この攻撃に対してほとんど防御効果を持ちません。

  • 辞書攻撃とルールベース攻撃: 人が使いがちな単語や一定の法則(ルール)を登録した辞書を用いて攻撃します。日本の文化に合わせた辞書も使われるため、日本人の名前も瞬時に解析されるといいます。

  • パスワードリスト攻撃: 過去に流出したIDとパスワードのリストを使い、別のサービスへのログインを試みる手口です。いわゆる「パスワードの使い回し」をしているユーザーが狙い撃ちとなります。

NordVPNの最高技術責任者(CTO)であるマリユス・ブリエディス氏は、以下の4つのパスワードセキュリティ防御策を推奨しています。

  1. デバイスの初期設定を必ず変更する: ルーターやIoT機器、管理システムを購入・設置した際は、まず初期設定のパスワードを変更することが重要です。
  2. 長さと複雑さで解読コストを高める: 最低12文字以上の長さにし、大文字、小文字、数字、記号をランダムに組み合わせることで、総当たり攻撃などの手口による解析時間を大幅に引き延ばすことが可能になります。
  3. 名前やありふれた単語を排除: 自身の名前や「yamamoto」のような一般的な名字、辞書に載っている単語は、ハッカーの組み合わせにも含まれるため、使用を避けましょう。
  4. アカウントごとの使い分けを徹底: 一つのパスワードを複数箇所で使い回すことはリスクを最大化させる行為です。サービスごとに異なるパスワードを設定し、信頼性の高いパスワード管理ツールの活用も推奨されます。

デジタル資産保護への警鐘

ブリエディス氏は、「パスワードはハッカーから、私たちの『デジタル資産』を守る壁のようなものです」と述べ、氏名、住所、資産など大切な個人情報が保存されているアカウントには、より強固な壁を構築する必要があると強調しています。今回の調査で、日本でも多くのユーザーが「admin」のまま、もしくは「推測可能な文字列」でその壁を構築していることが明らかになったと指摘し、パスワードの見直しを呼びかけています。

また、NordPassのプロダクト責任者であるカロリス・アルバチアウスカス氏は、これまで長年にわたってサイバーセキュリティ教育やデジタル意識向上の取り組みが行われてきたにもかかわらず、パスワード管理の改善はごくわずかにとどまっている現状を指摘しています。データ侵害の約80%は、漏洩・脆弱・使い回されたパスワードが原因で発生しており、強固なパスワードが依然として非常に重要であると述べています。

NordVPNについて

NordVPNは、世界中で何百万人ものユーザーを持つ先進的なVPNサービスプロバイダーです。8,200台以上のサーバーを世界127カ国165都市で提供し、専用IPやDouble VPN、Onion Over VPNサーバーなど、多彩な機能を備え、オンラインプライバシーを強化しています。本社はオランダ・アムステルダムに位置しています。同社のウェブサイトはこちらです。

ソース元: NordVPN公式サイト
URL: https://nordvpn.com/ja/

関連記事

著者紹介:press

press プレスリリースを元に、サイバーセキュリティ関連の企業動向を配信しています。情報の正確性についてはソース元をご確認ください。


カテゴリ:
タグ: