英国のサイバーセキュリティと世界の流出パスワードの現状、英国NCSCが分析：最も危険なパスワードは「123456」

英国の国家サイバーセキュリティセンター（NCSC）は、初の「UK Cyber Survey」の結果を発表した。世界で発生したサイバー侵害において、第三者が利用したパスワード10万種類についての分析結果も併せて発表した。

[＠IT]

　英国政府通信本部（GCHQ）傘下の英国国家サイバーセキュリティセンター（NCSC）は2019年4月21日（英国時間）、初の「UK Cyber Survey」（英国サイバー調査）の結果を発表した。世界で発生したサイバー侵害も対象としており、第三者がアクセスに用いたパスワードのうち、よく使われた10万種類について分析した結果も明らかにした。

　英国政府はUK Cyber Surveyの結果を踏まえて、サイバーセキュリティに関する政策を修正し、企業、組織、個人に対するガイダンスを行っていく。

　UK Cyber Surveyのハイライトは次の通り。

• サイバー有害行為に対して自衛する方法をよく知っていると答えた回答者は、15％にとどまる

7％が全く知らないと回答した（出典：英NCSC）

• 最も一般的な懸念事項は金銭の盗難。回答者の42％が、2021年までに被害に遭う可能性があると答えている
• 回答者の89％がインターネットを使って買い物をしており、39％は毎週利用している

ユーザーの自衛能力は低く、パスワードの保護が不十分

• 回答者の3分の1は、サイバーセキュリティについて家族や友人の手助けにある程度頼っている
• プライバシーを意識し、オンラインで提供する個人情報の詳細に注意を払っている回答者の割合は、若い層の方が高い
• インターネットユーザーの61％がソーシャルメディアを毎日チェックしているが、21％はソーシャルメディアを一切見ない
• 回答者の70％は、スマートフォンやタブレットにアクセスするのに常にPIN（暗証番号）やパスワードを使っている
• メインの電子メールアカウントにアクセスするのに専用の強力なパスワードを必ずしも使っていない回答者は、全体の5割未満

第三者が利用したパスワード10万種類を分析

　世界で発生したサイバー侵害で第三者によってアクセスされたパスワードのうち、よく使われる10万種類についての分析では、国際的なWebセキュリティの専門家トロイ・ハント氏の協力を得て、同氏がWebサイト「Have I Been Pwned」で公開しているデータを使って進めた。

　このサイトでは、ユーザー自らのアカウントがデータ侵害で流出していないかどうか、チェックできる。

　NCSCがまとめた分析結果のハイライトは表の通り。例えば「123456」というパスワードはハント氏が収集した侵害事例で約2300万回も使われており、最も危険なパスワードだと言える。NCSCは一般的な単語であっても危険だと指摘している。例えば「oreocookie」（オレオ）のような単語でも、3000回以上侵害事例で使われていた。

世界で発生したサイバー侵害で第三者が侵害に用いた回数　よく使われる10万件のパスワードについて調査した（出典：英NCSC）

　NCSCが10万種類の危険なパスワードを公開した理由はこうだ。攻撃者が、組織の内外を分ける防壁を侵害しようとしているときや、ネットワークに侵入後、防御力の低い可能性があるシステムに移動しようとするときに、このようなリストを使用するからだ。

　ネットワークのセグメンテーションが不十分な組織に対してはこのような攻撃が成功しやすい。いったん企業ネットワークが侵害されてしまえば、内部ネットワークを横方向に容易に移動されてしまう。

　今回の調査は、英国政府の国家サイバーセキュリティプログラムの一環として、NCSCと英国デジタル・文化・メディア・スポーツ省（DCMS）から委託を受けたIpsos MORIが実施した。Ipsos MORIは2018年11月12日〜2019年1月9日に英国在住の16歳以上の不特定多数を対象に電話インタビューを行い、1350人から回答を得た。回答者の属性は英国の年齢階層別人口と合致するよう統計的に処理されている。