セキュリティの専門家であるBruce Schneier氏は12月15日,ソーシャル・ネットワーキング・サービス「MySpace」をかたるフィッシング詐欺サイトで収集されたパスワードの傾向を公表した。それによると,「password1」というパスワードが最も多かったという。

 今回のデータは,Schneier氏が執筆および発行している月刊メール・マガジン「Crypto-Gram Newsletter」12月15日号の記事中で紹介されたもの。同メール・マガジンの記事の一部は,ITproの「CRYPTO-GRAM日本語版」において日本語化して提供している。

 Schneier氏は,別のセキュリティ専門家から研究目的で提供されたデータを使って,パスワードの傾向を調べた。提供されたデータは,MySpaceをかたるフィッシング詐欺の調査の際に“押収”されたユーザー名およびパスワード3万4000件。フィッシング・サイトは既に閉鎖されている。

 このフィッシングの手口は極めて“基本的”。MySpaceのログイン・ページに見せかけた偽ページにユーザーを誘導して,ユーザー名とパスワードを入力させる。そしてそれらを,攻撃者が乗っ取った複数のWebサイトへ送信させる。MySpaceでは,およそ10万人のユーザーがこのフィッシング詐欺にだまされたとしている。今回の集計対象となったのは,そのうちの3万4000件。

 集計の結果,収集されたパスワードの平均文字数は8文字。6文字以下は17%で,7文字が23%,8文字が25%。各文字数の割合は以下のとおり。

文字数割合(%)
1~40.82
51.1
615
723
825
917
1013
112.7
120.93
13~320.93

 アルファベットと数字を組み合わせたパスワードは全体の81%を占めた。

パスワードの構成文字割合(%)
数字1.3
アルファベット9.6
数字とアルファベット81
数字とアルファベット以外8.3

 アルファベットと数字を組み合わせたパスワードでは,「小文字アルファベット数文字の最後に数字1つ」の組み合わせが最も多く,全体の28%を占めた。そしてその3分の2では,最後の数字は「1」だったという。

 一般の辞書に載っている単語1つをパスワードにしているケースは全体の3.8%に過ぎなかった。「単語1つ+数字1つ」としていたユーザーは12%。この場合も,その3分の2では,最後の数字は「1」にしていた。また,メール・アドレスのユーザー名部分(@よりも前)をパスワードにしていたのは,わずか0.34%だった。

 よく使われていたパスワードは以下のとおり。最も多かったパスワードは「password1」で全体の0.22%,次の多かった「abc123」と「myspace1」は,それぞれ0.11%だった。これら以降は,多い順に「password」「blink182」「qwerty1」「fuckyou」「123abc」「baseball1」「football1」「123456」「soccer(0.04%)」「monkey1」「liverpool1」「princess1」「jordan23」「slipknot1」「superman1」「iloveyou1」「monkey(0.02%)」――だったという。

Crypto-Gram Newsletter(December 15, 2006)