ソリトンシステムズは日本のインフラを支えているとみなせる企業についてアカウント情報の漏れを調べた。調査対象の全企業において漏れたアカウント情報が存在した。以下の企業の社員に割り当てられたメールアドレスと、組み合わせて使うパスワードの中で漏れていたものがあった。

  • 通信8社(グループ企業含む)
  • 銀行3行、証券会社5社、信販2社
  • 航空2社、鉄道22社(グループ企業含む)
  • 電力10社、ガス4社
  • 製薬5社、化学3社
  • 物流4社

 アカウント情報が漏れただけでインフラが危険であるとは無論言えない。とはいえ、セキュリティーに注意すべきインフラ企業ですらアカウント情報漏れがあるわけで、一般企業も同様の状態という見方ができる。社長をはじめとする役員、部課長、現場社員のアカウント情報が漏れていた例もあった。

 また、政府機関に割り当てられている「go.jp」については、178件のドメインから1万4720件のアカウント情報流出を確認した。

よく使われるパスワードは世界共通

 流出した「.jp」アカウント情報を分析すると、日本でどのようなパスワードが使われているか、傾向が分かる。ソリトンシステムズが見つけたパスワードのうち、利用件数の上位は次の通りであった。

  • 1位 123456
  • 2位 123456789
  • 3位 asdfghjk
  • 4位 12345678
  • 5位 password

 米国で調査・発表される、利用パスワードのランキングでも1位は123456になっており、それ以外についても傾向は似通っているとソリトンシステムズは見ている。第3位のasdfghjkはキーボードのaから順に右へ打鍵したもの。日本の特徴として8位にsakuraが入っていた。

 単純な数列をパスワードにしない。仕事で使っているパスワードを私用で使わない。こうした指摘が以前からされていたものの、実践は難しいことが以上の調査結果から見て取れる。

攻撃は高度に、だが現場の対応は?

 一方でサイバー攻撃の手口は複雑かつ高度になっている。攻撃によって顧客情報を持ち去られたり、電子メールのやり取りに割り込まれ、送金詐欺に引っかかったりする事例がある。

 15年前、筆者は日経ビジネス本誌に『情報漏洩を防ぐには ~ システム面の対策には限界。教育で抑止を』(2003年2月3日号)という記事を書いた。「外部のハッカーからの攻撃よりも内部の社員からの“攻撃”の方が企業に与えるダメージははるかに大きい」という前提に基づく記事であった。2014年にはこの記事が通用すると言い張って、日経ビジネスオンラインに転載した。

 だが外部からの攻撃が激しくなった2018年の今となっては古証文である。しかも内部の不正アクセスの懸念も依然としてある。