「同じパスワードを使い回している」——心当たりがあるなら、この記事を最後まで読んでほしい。
日本人の 71% がパスワードを使い回している。世界平均の68%を上回る数字だ(Okta Japan 2025年調査)。IPA(情報処理推進機構)の「情報セキュリティ10大脅威」では、「インターネット上のサービスへの不正ログイン」が 10年連続 でランクインしている。
使い回しが危険なのは「バレたら全部やられる」からだ。ただしそれだけでは本当の恐ろしさは伝わらない。この記事では、攻撃者が使い回しパスワードをどう悪用するのか、その仕組みと実際の被害事例、そして根本的な対策を解説する。
パスワード使い回しの実態
「自分だけは大丈夫」と思うかもしれない。しかしデータは別の事実を示している。
| 調査元 | 結果 |
|---|---|
| Okta Japan(2025年) | 日本人の 71% がパスワードを使い回し(世界平均68%) |
| IPA調査 | PCユーザーの41.9%、スマホユーザーの53.4%が使い回し |
| AironWorks | 社員の44.1%が仕事と個人で同じパスワードを使用 |
| Bitwarden(2025年) | Z世代の 72% が使い回し(ベビーブーマー世代は42%) |
| SpyCloud(2024年) | 2つ以上の漏洩に登場したユーザーの 74% が同じパスワードを使用 |
注目すべきは「デジタルネイティブのZ世代ほど使い回し率が高い」というBitwardenの調査結果だ。テクノロジーに詳しいはずの世代が、パスワード管理では最も危険な行動を取っている。
Have I Been Pwned(漏洩確認サービス)には、現時点で 175億件以上 のアカウント情報が登録されている。あなたのメールアドレスがすでに含まれている可能性は決して低くない。自分の情報が漏洩しているかは「パスワードが漏洩していないか今すぐ確認する方法」でチェックできる。
クレデンシャルスタッフィングの仕組み
パスワード使い回しを悪用する攻撃が クレデンシャルスタッフィング(リスト型攻撃)だ。
攻撃の流れ
- 漏洩データの入手 ——ダークウェブで過去の情報漏洩から流出したID・パスワードのリストを購入する。数百万件のリストが数ドルで取引されている
- 自動化ツールで試行 ——専用ツール(ボット)を使い、入手したIDとパスワードの組み合わせを他のサービスに片っ端から試す
- 一致したアカウントに不正アクセス ——同じパスワードを使い回しているアカウントが突破される
なぜ「たった2-4%」でも脅威なのか
クレデンシャルスタッフィングの成功率は一般に 2〜4% と言われている。低く聞こえるかもしれない。
しかし実際の攻撃では、1回のキャンペーンで 数百万件 を試行する。2025年6月のPAL CLOSET事件では、1,722,379回 の試行に対して 194,307件 の不正ログインが成功した。成功率は約11%——平均を大幅に上回る数字だ。
攻撃者にとってのコストは極めて低い。漏洩リストの購入費は数ドル、自動化ツールも安価に手に入る。一方で、攻撃を受ける側の被害は甚大だ。Verizon DBIR 2025によれば、基本的なWebアプリケーション攻撃の 約88% が盗まれた認証情報の悪用によるものだ。
実際の被害事例
PAL CLOSET(2025年6月・日本)
ファッション大手パルグループのECサイト「PAL CLOSET」がリスト型攻撃を受けた。
- 不正ログイン試行: 1,722,379回
- 成功した不正ログイン: 194,307件
- 流出した情報: 氏名、性別、生年月日、住所、電話番号
- 対応: 全会員のパスワードを無効化し、再設定を要求
19万人以上の個人情報が流出した。「同じパスワードを使い回している」ことが、攻撃者にとって 11%の成功率 を保証した。
Snowflake顧客侵害(2024年6月・グローバル)
クラウドデータプラットフォームSnowflakeの顧客アカウントが大規模に侵害された。
- 被害企業数: 165社以上(Ticketmaster、Santander Bankなど)
- 攻撃手法: 漏洩した認証情報によるクレデンシャルスタッフィング
- 突破できた理由: 多要素認証(MFA)が未設定 だったアカウントが標的
パスワードの使い回し + MFA未設定が重なった典型的なケースだ。
23andMe(2023年・米国)
DNA検査サービス23andMeがクレデンシャルスタッフィング攻撃を受け、ユーザーの遺伝情報が流出した。他サービスで使い回されたパスワードが攻撃に利用された。23andMeは最終的に2025年に破産を申請した。
日本の全体像
警察庁のデータ(2023年)によると、不正アクセスの認知件数は 6,312件(前年比187%増)。検挙された475件のうち、約2/3がID・パスワードの悪用によるものだった。
「定期変更」「複雑なパスワード」は間違い
「パスワードは定期的に変更しましょう」「大文字・数字・記号を混ぜましょう」——これらは もう推奨されていない。
NIST(米国国立標準技術研究所)の最新ガイドライン
NIST SP 800-63B(デジタルID認証ガイドライン最新版)は、従来の「常識」を覆した。
| 従来の「常識」 | NISTの新ガイドライン |
|---|---|
| 90日ごとにパスワードを変更 | 漏洩の証拠がない限り 定期変更を強制してはならない |
| 大文字・数字・記号を混在させる | 複雑性ルールの強制は 禁止 |
| 8文字以上 | シングルファクター認証では 15文字以上 を推奨 |
| パスワードを覚えて手入力 | パスワードマネージャーの使用を推奨 |
なぜ定期変更が逆効果なのか。強制的に変更させると、ユーザーは Password1 → Password2 → Password3 のように予測可能なパターンに頼る。結果として安全性が 下がる。
なぜ複雑性ルールが逆効果なのか。「大文字・数字・記号必須」にすると、P@ssw0rd! のような「ルールを満たすだけの弱いパスワード」が量産される。長さの方がはるかに重要だ。
パスワードマネージャーという根本解決
100個のサービスに100個の異なる強力なパスワードを設定する。人間の記憶力では不可能だ。だからパスワードマネージャーを使う。
パスワードマネージャーの仕組み
- すべてのパスワードを暗号化して保管する
- マスターパスワード1つ だけ覚えればいい
- サービスごとにランダムな強力パスワードを自動生成する
- ブラウザやスマホアプリから自動入力する
選ぶ基準
- ゼロ知識アーキテクチャ ——サービス提供者すらあなたのパスワードを見られない設計
- 多要素認証対応 ——マスターパスワード + 認証アプリの2重防御
- 侵害チェック機能 ——保管しているパスワードが漏洩リストに含まれていないか自動チェック
- パスキー対応 ——パスワードレス認証への移行を見据えた対応
NordPass はこれらすべてを備えている。Password Health機能が使い回しや弱いパスワードを自動検出し、Data Breach Scannerがメールアドレスの漏洩をチェックする。
「パスワードマネージャー自体がハッキングされたら?」
2022年のLastPass侵害を心配する声は理解できる。しかし、ゼロ知識アーキテクチャの場合、保管庫がハッキングされても暗号化されたデータが流出するだけで、マスターパスワードなしには解読できない。
パスワードマネージャーを使わないリスク(100個のサービスで同じパスワード)と比べれば、パスワードマネージャーを使うリスクは圧倒的に小さい。
今すぐやるべき3つのこと
1. 漏洩を確認する
まず自分のメールアドレスやパスワードがすでに漏洩していないか確認する。NordPass のData Breach Scannerや、Have I Been Pwnedで確認できる。
詳しい手順は「パスワードが漏洩していないか今すぐ確認する方法」を参照。
2. 最重要アカウントのパスワードを変更する
すべてを一度に変更する必要はない。まず以下の優先度で対応する:
- メールアカウント ——他のすべてのサービスのパスワードリセットに使われる
- 銀行・クレジットカード ——直接的な金銭被害
- SNS ——なりすまし被害。復旧手順は「SNSアカウント乗っ取り?確認方法と取り戻す手順」を参照
3. パスワードマネージャーを導入する
新しいパスワードはパスワードマネージャーに生成させ、保管する。既存のサービスも、ログインするたびにパスワードマネージャーに登録していけばいい。「全部一度に変える」必要はない。
パスワードマネージャーの選び方と使い方は「パスワードが覚えられない?もう覚えなくていい」で詳しく解説している。
まとめ
パスワード使い回しは、攻撃者にとって 最もコストの低い攻撃手段 を提供する行為だ。
- 71%の日本人 がパスワードを使い回している
- クレデンシャルスタッフィングの成功率は2-4%。172万回試行すれば19万件突破される
- 「定期変更」「複雑にする」はNISTが 非推奨 にした旧常識
- パスワードマネージャー + 多要素認証 が根本解決
- まずメール→銀行→SNSの順にパスワードを変更する
自分のパスワードがすでに漏洩していないか、今すぐ「パスワードが漏洩していないか今すぐ確認する方法」でチェックしよう。2段階認証の強化は「SMS認証はもう危険?安全な2FAへの乗り換え方」も参考にしてほしい。