冗談のように聞こえる統計ですが、そのオチはセキュリティ上の悪夢です。何十年にもわたるサイバーセキュリティ研修、容赦ない警告、そしてますます複雑化するパスワードポリシーにもかかわらず、2025年に最も多く盗まれたパスワードは依然として「123456」、「admin」、「password」でした。
これは推測ではありません。2025年に発見された60億件以上の漏洩認証情報に関する新たな分析によって明らかになった、厳しい現実です。データは、ユーザーの行動が停滞しているという憂慮すべき真実を証明しています。脅威の状況は増大しているにもかかわらず、セキュリティにおける人的要素は依然として危険なほど予測可能です。しかし、企業にとってこれは単に従業員の怠慢の問題ではありません。攻撃者が容赦なく悪用するシステム全体の脆弱性なのです。
企業のリスク:個人アカウントだけではない
「123456」がランキングの上位を占めているのを見ると、誰かが使い捨てのコードでNetflixアカウントを安全に使用しているという、消費者の問題として片付けてしまいがちです。しかし、分析は企業にとってはるかに深刻な状況を浮き彫りにしています。
「admin」「root」「user」といったパスワードの永続化は、企業にとって大きな盲点、つまりデフォルトの認証情報の存在を如実に示しています。
これらの汎用ログイン情報は、ネットワーク機器、IoTデバイス、産業用制御システム(ICS)で変更されずに放置されていることがよくあります。これらは、組織が忘れがちな「玄関マットの下の鍵」です。保護されていないまま放置されると、これらのデフォルトの認証情報は、攻撃者に重要インフラへの容易かつ信頼できるアクセスを与えてしまいます。
一度侵入した攻撃者は、ただそこに留まるのではなく、これらの足掛かりを利用して攻撃を仕掛けます。マルウェアによって盗まれた認証情報は、Active Directory(AD)、VPN、クラウドIDへの侵入に頻繁に再利用されます。つまり、重要でないデバイスで不適切なパスワードが使用されているだけで、攻撃者に企業ネットワーク全体への「信頼できるアクセス」を与えてしまう可能性があるのです。
マルウェアとの関連性:推測ではなく、盗難
脅威はここで進化します。60億件もの認証情報の多くは、ブルートフォース攻撃による推測ではなく、情報窃取型マルウェアによってユーザーのマシンから直接盗まれたものです。
レポートでは、2025年にこれらの認証情報を収集する最も活発なマルウェアファミリーとして、LummaとRedLineを挙げています。これらの情報窃取型マルウェアはバックグラウンドで静かに動作し、ブラウザやシステムファイルから保存されたログインデータをスクレイピングします。
これは、従来の検出ベースのセキュリティにおける重大な欠陥を浮き彫りにしています。インフォスティーラーの実行を許可した場合、パスワードがどれほど複雑であっても、マルウェアはパスワードを入力または保存した瞬間にそれを捕捉します。だからこそ、PC Maticのアプリケーション許可リストは必須なのです。デフォルトで拒否するアプローチを採用することで、LummaやRedLineのような不正なプログラムの実行を阻止し、盗難を未然に防ぐことができます。
「フィッシング耐性」が万能薬ではない理由
多くのITリーダーは、最新の多要素認証(MFA)でこの問題を解決したと考えています。フィッシング耐性のあるMFAは不可欠ですが、万能薬ではありません。
分析では、安全な環境であっても、脆弱なパスワードが潜在的に存在していると警告しています。
- レガシーシステム:最新のMFAをサポートしていない古いアプリケーションは、多くの場合、静的パスワードに依存しています。
- サービスアカウント:自動化に使用される非人間アカウントは、静的で高い権限を持つ認証情報(多くの場合、「admin」に設定)を使用することが多く、これらの認証情報はローテーションされることはほとんどありません。
- ディレクトリベースの認証:攻撃者がディレクトリ管理者のパスワードを侵害した場合、MFAを完全に回避できます。
攻撃者は水のように、最も低い地点へと流れていきます。玄関のドアに生体認証ロックが付いていても、サービスエントランスで「password123」が使われていると、攻撃を受けやすくなります。
ITリーダーのための実践的なステップ
ユーザーの行動が変化するのを待つことはできません。セキュリティチームは、環境を積極的に管理する必要があります。
- デフォルトの認証情報を監査:ネットワークを即座にスキャンし、工場出荷時のデフォルトのログイン情報を使用しているハードウェア、IoTデバイス、ICSデバイスを探します。今すぐ変更しましょう。
- 脆弱なパターンをブロック:IDプロバイダー(IdP)を設定して、「Welcome」、「Summer」、「Company Name」、「Password」などの単語を含むパスワードを拒否しましょう。
- 防御を多層化:単一のロックに頼らず、侵害された認証情報を継続的に監視し、すべての高リスクアクセスポイントにフィッシング対策を施した多要素認証(MFA)を適用しましょう。
- 情報窃盗犯の阻止:どんなに優れたパスワードポリシーでもキーロガーを阻止することはできません。PC Maticのアプリケーション許可リスト機能を使用することで、エンドポイント上で情報窃盗マルウェアが実行されるのを未然に防ぎます。
ユーザーの行動を変えるのは難しいですが、セキュリティ対策は変わりません。すべての従業員が常に完璧なパスワードを選択するとは限りませんが、ミスをカバーできるセキュリティスタックを選択することは可能です。
ネットワークを「123456」に無防備に放置しないでください。今すぐPC Maticでエンドポイントを保護しましょう。
原文:Why 6 Billion Leaked Passwords Prove We Need More Than Just Awareness (January 21, 2026 / Jessica Molde)
