ユーザーの大多数がパスワードを使い回し、Sony Picturesの流出情報から判明

[鈴木聖子，ITmedia]

　ソニーの関連サイトが相次いで攻撃され、大量のユーザー情報が流出した問題で、流出したパスワードをセキュリティ研究者が分析し、結果をサイトで公表した。

　セキュリティ研究者のトロイ・ハント氏は、ハッカー集団がSony PicturesのWebサイトから盗み出してネットで公開した情報のうち、3万7608件のユーザーアカウントを分析。パスワードの長さや使われている文字記号、無作為性などの特徴を調べた。

　このうち、Sony Picturesが実施した2種類の懸賞への応募に使われたアカウントでは、電子メールアドレスが共通することから、同じユーザーのアカウントとみられるものが2000件以上あった。そのうち92％が、両方で同じパスワードを使い回していた。

　さらに、2010年に米Gawker MediaのWebサイトから流出したユーザー情報と照らし合わせたところ、ソニーと共通する電子メールアドレスが88件あり、このうち67％が、ソニーとGawkerの両方で同じパスワードを使い回していたことが分かった。

　ハント氏はこの結果について「こうしたパスワードの大部分は、Gmail、eBay、Facebookなど他社のアカウントでも使えてしまう確率が非常に大きい」と解説する。

　パスワードの構成を見ると、「password」「123456」「abc123」など安易なパスワードの代表例ともいえるパスワードが依然として多く見られたほか、今回流出したのが懸賞への応募に使われたパスワードだったことから「winner」「contest」など懸賞関連の用語をそのまま使ったものも多かった。

　パスワードの作成に当たっては数字やアルファベットの大文字、小文字、記号など複数種の文字を組み合わせることが望ましいとされるが、今回の分析結果では1種類の文字しか使っていないパスワードが半数近くを占め、その9割までがすべて小文字のみで構成されていた。英数字以外の記号などを使ったパスワードは1％にも満たなかった。

トロイ・ハント氏が解析した流出パスワードの文字数別の分布（Troy Hunt's Blogより）