NVIDIA製「RTX5090」登場で記憶認証は崩壊？ GPU進化に負けないパスワードを作るコツ：48％が1分未満で解析可能

「あなたのパスワード、何分持ちますか？」――流出した2億件超の認証情報を分析した結果、48％が1分未満、60％が1時間未満で解析できることが分かった。その背景にあるのはGPU性能の劇的な進化だという。

[＠IT]

　Kasperskyは2026年5月7日（ロシア時間）、ダークWebに流出したパスワード2億3100万件を分析した結果、48％が1分未満、60％が1時間未満で解析可能だったと発表した。解析速度はGPU性能向上で増しており、短い文字列や規則性を持つパスワードの危険性が深刻化していると警鐘を鳴らした。

RTX5090を使えば最速1分未満で解析可能　弱すぎるパスワードの特徴

　同調査では、2023〜2026年に漏えいしたユニークなパスワードを対象に分析を実施した。解析にはNVIDIA製GPU「GeForce RTX 5090」を1基使用し、MD5ハッシュを対象に検証したという。Kasperskyによると、2024年時点では1分未満で突破可能な割合が45％だったが、今回は48％に上昇した。24時間未満で突破できる割合も68％に達した。

　背景にはGPU性能の急速な向上がある。「GeForce RTX 4090」が2024年時点で毎秒1640億回のハッシュ計算能力を持っていたのに対し、GeForce RTX 5090では毎秒2200億回に増加した。高性能GPUは高価ではあるが、クラウド経由で時間貸しするサービスが広がっており、数ドル程度で大規模解析が可能になっているという。

　同社は「短いパスワードだけでなく、人間特有の規則性も大きな弱点になっている」と説明した。分析結果では53％のパスワードが数字で終わっており、17％は数字で始まっていた。1950〜2030年までの年号を含む例も12％存在し、1990〜2026年の数字が特に多かった。誕生年や作成年を組み込む利用者が多いとみられる。

　数字列では「1234」が突出して多く、キーボード配列をなぞった「qwerty」型の文字列も多数確認された。特殊記号では「＠」が最頻出となり、「.」「！」が続いた。記号追加だけでは防御力向上が限定的であり、辞書に載っている単語に数字や記号を付け足した程度では解析アルゴリズムに容易に推測されるとしている。

　流行語や感情表現も頻繁に利用されていた。「love」「angel」「life」など肯定的な単語が目立った他、「Skibidi」の使用例が2023年以降に急増した。SNSや動画文化の影響がパスワード選択に反映されている状況も浮かび上がった。

　同社は、長期間同じパスワードを使用し続ける傾向にも注意を促した。最近の漏えい情報の54％は過去にも確認された内容と重複していた。利用者が数年間変更していないケースが多い可能性があるという。パスワード中に含まれる年号分析から、平均利用期間は3〜5年程度と推定した。

　同じパスワードを複数サービスで流用する行為も大きな問題だ。1件の漏えい情報が判明すれば、攻撃者は別サービスでも同一情報を試行できる。解析作業を経ずに不正侵入に至る場合もある。

　防御策として同社は、16〜20文字程度の長いランダム文字列利用を推奨した。人力で大量の複雑なパスワードを記憶するのは困難なため、パスワード管理ソフトウェア活用が有効だとしている。加えて、パスワードをテキスト文書やメモアプリに保存しないよう呼びかけた。情報窃取型マルウェア（インフォスティーラー）はWebブラウザ保存情報やクリップボード内容を短時間で抜き取れるという。

　パスワードに代わる認証手段としてパスキー普及も促進した。パスキーは公開鍵暗号方式を使い、秘密鍵を端末外に送信しないため、フィッシング攻撃耐性が高い。SMS認証によって認証アプリ型の多要素認証利用も有効だと説明した。

　Kasperskyは、海賊版ソフトウェアや不審ファイルを避けるなど、基本的なデジタル衛生管理の徹底も必要だと指摘している。情報窃取型攻撃が増加傾向にある中、単純な文字列や長期間未変更のパスワードは、今後危険性が高まるとの見方を示した。