まだまだ対策として現役 強力なパスワードをつくるための“3つのルール”とは？：セキュリティニュースアラート

AIの進化によってサイバー攻撃が高度化しているが、依然としてパスワードは第一の防衛線として機能している。人が弱いパスワードを使用してしまう背景と、強力なパスワードを作成する“3つのルール”を解説する。

[後藤大地，ITmedia]

　セキュリティニュースメディアの「The Cyber Express」は2025年10月3日（現地時間）、AIの進化がもたらすサイバー攻撃の高度化に対し、依然として「パスワード」が最初の防衛線として機能している現状を指摘した。認証技術が多様化した現在においても、パスワードは広く使われている基本的な防御手段であり、その有効性と課題の両面を明確に伝えている。

　生体認証や多要素認証が普及しているにもかかわらず、パスワードは依然として多くのオンラインサービスで主要な認証手段となっている。調査によれば、2023年時点でも一般的なセキュリティ手法はパスワードであり、その管理市場は2030年までに70億ドルを超える規模に達すると予測されている。つまり、パスワードそのものが廃れる兆候はない。問題は、利用者の作り方と扱い方にあるとThe Cyber Expressは指摘している。

なぜ人は弱いパスワードを使い続けるのか？　その背景にあるバイアス

　依然として「12345」や誕生日、ペットの名前といった単純なパスワードが使われ続けており、AIを駆使する攻撃者にとっては容易に突破できる格好のターゲットとなっている。AIによる総当たり攻撃や推測攻撃は従来の手法と比べて格段に高速であり、単純なパスワードは数秒で解読されることもある。

　しかし、人々が弱いパスワードを使い続ける背景には、人間の記憶の限界がある。銀行や電子メール、SNS、オンライン決済など複数のアカウントを管理する中で、複雑で長いパスワードを個別に設定し覚えるのは困難であり、結果として同じパスワードの使い回しが横行してしまっている。

　こうした状況を改善するために、The Cyber Expressはパスワードマネジャーの利用を提案している。パスワードマネジャーは、アカウントごとに長く複雑で一意のパスワードを自動生成し、安全に保存する仕組みを提供する。利用者は1つのマスターパスワードを覚えるだけで済み、記憶への依存を最小限に抑えられる。この仕組みは、管理の手間を減らしつつ安全性を高める現実的な手段とされている。

　The Cyber Expressは米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が提唱している強固なパスワードを作成するための「3つの基本原則」として以下を紹介している。

1. 十分な長さを確保すること。16文字以上が推奨される
2. 文字や数字、記号を混在させ、無関係な単語を組み合わせるなど予測困難な構造にすること
3. アカウントごとに異なるパスワードを設定し、再利用を避けること

　人間が強力なパスワードを避ける心理的要因にも触れている。便利さを優先する傾向や自分は被害に遭わないという思い込み、無作為な文字列を記憶することへの抵抗感などをその原因として挙げている。一見複雑そうなパスワードも実際には容易に予測でき、AIによる解析では数秒で突破される可能性がある。利用者が自らの作ったパスワードを過信することが、被害の温床となっていると警告している。

　AIの発展は、パスワードの安全性を取り巻く状況を一変させている。攻撃者はAIツールを利用して、個人のSNS投稿や公開プロフィールから推測可能な情報を抽出し、名前や誕生年などを組み合わせて効率的に攻撃を実行する。飼い犬の名前をSNSで公開している場合、AIが容易に推測可能とされ、もはや人間の少し工夫したレベルの工夫では太刀打ちできない段階にある。

　The Cyber Expressはパスワードを完全な防壁とするのではなく、「第一の防衛線」として位置付けている。強く、長く、使い回さないパスワードを設定し、それをパスワードマネジャーや多要素認証と組み合わせることで、AIがもたらす新しい脅威にも対応できるとしている。