平均パスワード保有数が168件から120件に初の減少 その裏で起きていること：リスクは消えていない

Nord Securityの調査によると、ユーザーが管理する平均パスワード数は平均168件から120件に減少した。喜ばしい変化のように思えるが、エンジニアにとってはそう単純な話ではないかもしれない。

[田渕聖人，＠IT]

　Nord Securityは2026年5月7日（現地時間）、ユーザーが管理する平均パスワード数に関する最新調査を公開した。2024年に168件だった個人向けパスワード数は、2026年には120件に減少。2020年から続いていた増加傾向が初めて反転した。業務用パスワードも87件から67件に減少している。

　ユーザーの中には、依然として「123456」や「password」など単純な文字列をパスワードに設定する人もいる。こうした脆弱（ぜいじゃく）なパスワードの利用は大きなセキュリティリスクを招くため、今回の調査は一見良い傾向のように見える。ただ、視点を変えるとどうやらそうともいえないようだ。

• 連鎖感染するnpmワーム「Mini Shai-Hulud」　特徴は「ランサム性」？　どう守る？　専門家の見解（＠IT）
• OpenAIがサプライチェーン侵害「Mini Shai-Hulud」の被害を公表（＠IT）

ユーザーが覚えるパスワードが減っても安心できないワケ

　Nord Securityによると、ユーザーが管理する平均パスワード数が減少した背景には、GoogleやAppleのアカウントを利用したシングルサインオン（SSO）の浸透が関係している。新規サービス利用時に独自パスワードを作成せず、既存IDで認証するケースが増えたためだ。加えて、パスキーやFace ID、WebAuthnなどパスワードレス認証の利用拡大も影響したという。利便性の向上がこの変化の主要なモチベーションになったようだ。

　ただ、開発者やIT部門にとっては別の視点も重要だ。近年、パスワードの代わりに、APIキーやSSH鍵、パスキーなど別種の認証情報が増加している。認証の負荷は減る一方で認証基盤そのものへの依存度は高まっているのが実態だ。SSOなどが侵害された場合、複数サービスに連鎖的に影響が広がるリスクも無視できない。

　実際、最近のサイバー攻撃手法は脆弱性を突く攻撃だけでなく、認証情報そのものを奪う手口が主流化している。また、開発者を狙った攻撃も横行しているため、依然として注意が必要だろう。

• NGINXのrewrite機能に「緊急」の脆弱性　“見落とし設定”がRCEの入り口に（＠IT）
• BitLockerをすり抜ける　Windows 11に浮上した“不穏な仕様”（＠IT）

　とはいえパスワードだけに頼るやり方が脆弱なことに変わりはない。Nord Securityはユーザーに向けて、不要アカウントの削除やパスワードマネジャー利用、多要素認証（MFA）の有効化を推奨するとともに、可能な限りパスキーなどのパスワードレス認証に移行することを勧めている。

　今回の調査結果は、「パスワードが減った」という単純な話ではない。認証の中心が覚える秘密から統合されたID基盤に移行し始めている現状を示すデータとして、エンジニアにとっても注目すべき変化といえそうだ。

• Linuxカーネルに新たな脆弱性「Fragnesia」　ローカル権限昇格が可能（＠IT）