目次
最悪なパスワードランキング
自分では「覚えやすくて便利」と思っていても、それが世界中のハッカーが共有している「攻撃リスト」の常連かもしれません。
最新の調査(2025年版)から、特に日本で狙われているワースト順位を公開します。
日本で使われている危険なパスワードTOP10
- 1位:admin
- 2位:123456
- 3位:password
- 4位:12345678
- 5位:123456789
- 6位:12345
- 7位:sakura
- 8位:123123
- 9位:admin123
- 10位:111111
これらはNordPass等の調査で毎年上位を占める常連です。1位の「admin」は、ネットワーク機器などの初期設定を放置しているリスクを物語っています。
また、10位以内に「123456」のバリエーションが5つも入っていることから、多くの人が「少し数字を足せば安全」という、ハッカーに見透かされた錯覚に陥っていることがわかります。
日本人特有の「名前」や「サービス名」の罠
「sakura」や「hanako」といった一般的な名前、あるいは利用しているサービス名(例えば「amazon123」など)は、日本をターゲットにした攻撃において真っ先に試されます。
こうした文字列は、攻撃者が使う「辞書」の1ページ目に載っています。一見自分だけのオリジナルに思えても、統計的には「何十万人もが同じことを考えている」ため、狙い撃ちにされやすいのです。
なぜ「3回間違えたらロック」が通用しないのか?
「数回アタックすればアカウントが凍結されるから安心」と考えるのは危険です。
現代のハッカーは、特定の1人のアカウントを何度も叩くのではなく、1つのありふれたパスワード(123456など)を、数万人のユーザーに対して「1回ずつ」試していきます。
これを「パスワードスプレー攻撃」と呼び、凍結機能に引っかかることなく、ランキング上位のパスワードを使っている人を根こそぎ見つけ出してしまいます。
順位には入っていないけれど「実は危ない」設定
ランキングにあるような単純なものを避けていても、設定の考え方そのものが古いと、AIによる超高速解析からは逃れられません。
8文字なら一瞬?AIによる解読スピードの驚異
一昔前は「8文字以上」が推奨されていましたが、現在の計算能力の前では8文字の壁は存在しません。
現在主流となっている攻撃は、サービスから盗み出されたパスワードの暗号化データを、自分たちの超高性能なマシンで解析する手法です。
ここにはログイン制限がないため、AIを駆使すれば、英数字を混ぜた8文字程度なら数秒から数分で正解にたどり着かれます。
人間が考える「ちょっとした工夫」は予測済み
「aを@に変える」「iを1にする」といった置き換えは、今やハッカーの解析ソフトには標準で組み込まれています。
人間が「これならバレないだろう」と思いつく程度のひねりは、AIにとっては容易に予測可能な計算ルールに過ぎないのです。
強くて覚えやすいパスワードの作り方
どうすれば「覚えやすさ」と「安全性」を両立できるのか。その答えは、文字を複雑にすることではなく、単純に「長くすること」にあります。
「長さ」こそ最強!3つの単語を繋げるだけ
複雑な記号を混ぜるより、自分にしかわからない無関係な単語を3つ以上繋げる「パスフレーズ」が、現代最強の防御術です。
- 「マグロ・温泉・日曜日」のように意味の繋がらない言葉を選ぶ
- 15文字以上の長さを確保する
- 自分のSNSやプロフィールから推測できない単語を使う
このように「Maguro-Onsen-Nichiyoubi」と長くするだけで、たとえAIでも解読に何十年もかかる、事実上突破不可能な壁になります。
「定期的な変更」はもう不要
意外かもしれませんが、現在は「パスワードの定期変更は不要」というのがセキュリティの新常識です。無理に変えようとするとパターンが単純になり、かえって危険だからです。
一度「15文字以上の強固なもの」を設定したら、流出の通知がない限り、自信を持って使い続けてください。
面倒なパスワードを簡単かつ安全に管理するコツ
「すべてのサイトで異なる15文字以上のパスワード」を人間が記憶するのは不可能です。そこで、最新のテクノロジーを味方につけましょう。
スマホやブラウザの「保存機能」に全投げする
iPhoneの「キーチェーン」やGoogle Chromeの「パスワードマネージャー」は、非常に強力な味方です。
これらはサイトごとにランダムで複雑なパスワードを自動生成し、あなたの代わりに記憶してくれます。ログイン時は指紋や顔認証だけで済みます。あなたが覚える必要はありません。
「パスワードは覚えるものではなく、ツールに任せるもの」と割り切るのが、現代で最も安全な管理術です。
究極の選択肢「パスキー」への切り替え
最近では、パスワード自体をなくす「パスキー」という仕組みがAmazonやGoogleなどで導入されています。
スマホの認証だけでログインが完了し、盗まれるパスワードそのものが存在しないため、現在考えうる中で最も安全なログイン方法です。
設定画面で「パスキー」の文字を見かけたら、積極的に活用しましょう。
鍵を変えることは、自分と周囲を守ること
パスワードを見直すことは、自分一人の身を守るだけではありません。
もしあなたのアカウントが乗っ取られれば、連絡先に登録されている家族や友人を狙った詐欺の「踏み台」にされ、あなた自身が意図せず加害者にされてしまうリスクも孕んでいます。
ネットの世界に「絶対」はありませんが、最新の管理ツールを頼り、鍵を少し長くするだけで、大半の攻撃は回避できます。
まずは今日、最も重要なメールアドレスやSNSのアカウントを一つ選び、スマホが提案する「自動生成された強力なパスワード」に置き換えてみませんか。そのわずかな「任せる勇気」が、あなたと大切な人を守る確かな盾になるはずです。
