2025 年 10 月 2 日 Adam Winston 著

パスワードは、非常に一般的な認証手段であり、いわば「自分が把握している」昔ながらの認証方式です。依然として世界中で最も広く使われており、調査によると、全アプリケーションの約半数はいまだにパスワードのみで保護されています。また、すべてのアプリごとに異なる固有のパスワードを使用している人は全体のわずか 12% に過ぎません。人間が記憶できるパスワードの平均は 5～7 個ほどでありながら、実際には 70〜100 個ものオンラインアカウントを抱えている人がほとんどです。このギャップが、「同じパスワードの使い回し」や「メモアプリへの保存」といった危険な習慣につながっています。

この記事は「パスワードレス認証」を推進するものではありません。多くのアカウントはまだそのような体制を整える準備ができていません。この記事で紹介するのは、我々が依然としてデジタルライフを守るために頼っている「複雑な文字列」についてです。なぜパスワードが今も重要なのか、どのようなパスワードが強力、あるいは脆弱なのか、そして将来はこの状況がどのように変化していくのかを見ていきます。この記事を読み終えるころには、より高度で、強力で、「ほぼ破られることのない」パスワードを作れるようになっているはずです。

パスワードが今、これまで以上に重要な理由

現代の経済においては「データこそが通貨」です。攻撃者にとって、特定のユーザ 1 人のパスワードだけでは、ダークウェブ上で数ドル程度の価値しか生み出さないかもしれません。しかしメールボックスやファイルシステムに侵入して一度企業情報を盗み出せれば、その価値は数十万ドルに跳ね上がります。銀行口座、メール、社会保障、健康情報、どのような分野でも、パスワードはいまだに侵入者にとって最も簡単な突破口のひとつです。「password123」といったパスワードを使用しているとしたら、それはドアを開放しているのと同じことです。今日、攻撃手法が日増しに巧妙化する中で、強固なパスワードは不可欠です。多くの人は「password123」のようなものが脆弱であることを理解していますが、「どのようなパスワードが強く、どのようなものが弱いのか」を本当に理解している人は多くありません。そして、パスワードの強弱は、見た目の複雑さだけで決まるわけではありません。パスワードを作成する際に優先すべきポイントをいくつか整理してみましょう。

優先事項その 1：長さこそが最大の強さ

パスワードの「強さ」は当然、ベンチプレスの重量で測る訳ではありません。また、その弱さは「人間がどれだけ読みやすいか」でもありません。攻撃者は、パスワードを盗むさまざまな手口を持っています。たとえば、偽の Web サイトに情報を入力させるフィッシングが成功したとすると、どんなに複雑なパスワードであろうとも一瞬で奪われてしまいます。

パスワードの「強さ」が意味を持つのは、攻撃者が大規模な認証情報データベースを盗んだときです。このような攻撃は、LinkedIn や Facebook のように何百万ものアカウントを抱える企業から流出するケースが典型です。こうしたデータベースは、パスワードそのものではなくランダム化した文字列を保存しています。攻撃者は、実際のパスワードに一致するまで推測を繰り返すことで元のパスワードを突き止めようとします。

このプロセスをパスワードクラッキングと呼びます。これは金庫のダイヤルを当てるようなもので、組み合わせが長く複雑であるほど時間がかかります。攻撃者は高性能なコンピュータを使っており、マシンが強力なほど推測も速くなります。

下の表は、3 種類の攻撃手法でどれだけ時間がかかるかを示したものです。シンプルな Nvidia の GPU クラスタ、クラウド環境、量子コンピュータ（理論上）を比較しています。

この表を読み解くのに、数学の専門知識は必要ありません。パスワードの強度に最も影響するのは「見た目の複雑さ」ではなく「長さ」です。もちろん、長いパスワードは入力が面倒かもしれません。ですが、もし「a」という文字を 40 回繰り返しただけのパスワードを使ったとしても、量子コンピュータでさえ解読に数十万年を要します。

優先事項 2：固有なパスワードを一元的に管理

何十個もの複雑なパスワードを覚えるのは実際には不可能であり、その必要もありません。パスワードマネージャは便利な選択肢ですが、同時に攻撃者に狙われやすい「一点集中の場所」でもあります。したがって、パスワードは、できれば安全な保管庫に保存することが推奨されます。それを踏まえた上で、パスワードマネージャを選ぶ場合は「定期的なパスワード更新」や「侵害時の通知」などをサポートしているサービスを選びましょう。これを複雑なパスワードと組み合わせることで、攻撃者が侵入できる時間的な余地を大きく減らせます。

優先事項 3：不要なアカウントは削除する

パスワードマネージャでアクティブなアカウントを更新するのと同様、使わないアカウントは削除すべきです。2000 年代初期から一度もログインしていない Myspace アカウントがあるなら、意を決して削除しましょう。「もう利用していない Hotmail に価値があるのだろうか」と思うかもしれませんが、そのアドレスを銀行口座のバックアップメールとして使っていた場合はどうでしょうか。万が一の事態が起こる前に、ログインして閉鎖しておきましょう。

優先事項 4：アカウントを監視する（MDR のすすめ）

銀行の金庫を誰も見張っていないとしたら、それは大問題です。これはオンラインアカウントも同じです。ログイン試行やシステム変更の監視は、ドアの鍵をかけるのと同じくらい重要です。
ダークウェブの流出スキャンや侵害通知は、しばしば漏えいから数週間後に届きます。継続的なアカウント監視や、利用可能な場合は無料のクレジット監視を組み合わせることで、必要な防御レイヤを追加できます。

今後の展望：AI が変えるパスワードの世界

攻撃者は単に「速いコンピュータ」を使っているだけではありません。AI（人工知能）を活用して、より高度な形でパスワードを推測し始めています。AI モデルは、漏えいした数十億件のパスワードから学習し、人々が作りがちなパスワードの傾向を予測できます。つまり、「名前」「誕生日」「スポーツチーム」「歌詞」などに基づくパスワードは、今まで以上の速さで破られる可能性があります。

さらに、AI によってフィッシング攻撃の見分けも難しくなっています。文法も完璧で、ロゴも本物そっくりな偽メールも生成でき、さらには AI 生成の声まで使われたメッセージが簡単に作れるのです。そうした場合、どんなに強力なパスワードでも、自分で入力してしまえば無力です。

一方で、防御側にとっても AI は強力な味方です。AI は、異常なログインパターン（たとえば「午前 3 時に海外からのアクセス」など）を検知して自動的にブロックすることができます。また、ダークウェブ上にあなたのパスワードが流出していないかを監視し、従来のスキャンよりも早く警告することも可能です。

AI は諸刃の剣です。攻撃者をより速く、より賢くする一方で、防御者にも強力なツールを与えます。だからこそ、「長く」「ユニークな」「適切に管理された」パスワードと「継続的な監視」が、今も、そしてこれからも最も重要な基盤であることに変わりはありません。