- About Trend Micro
- プレスリリース
- パスワードの利用実態調査2023
パスワードの利用実態調査2023
~8割以上がパスワードを使いまわし、約2割が不正アクセスや情報流出の被害に~
2023年8月31日
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証プライム:4704、以下、トレンドマイクロ)は、ID/パスワードでのログインが必要なWebサービスの利用者を対象に、Webサービスおよびパスワードの利用や管理の実態を調べる「パスワードの利用実態調査 2023」を実施しました。本調査の結果は以下の通りです※1。
※1 調査結果のパーセンテージは、小数点以下第二位を四捨五入した数値です。
■8割以上の利用者がパスワードを使いまわし
Webサービスの利用者(n=1,030)のうち、83.8%(863人)が複数のWebサービスでパスワードを使いまわしていることが分かりました(図1)。2020年の調査でも85.7%が使いまわしをしていることが明らかになっており、微減傾向は見られるものの、未だに多くの利用者がパスワードを使いまわしている状況が分かりました。
パスワードを使いまわしている利用者(n=863)に、ID/パスワードを使いまわす理由を聞いたところ、「異なるパスワードを設定すると忘れてしまう」(72.8%)、「異なるパスワードを考えるのが面倒」(48.6%)と回答する利用者が多いことが分かりました。本調査では一人当たり平均14のWebサービスを利用していることが明らかになっており※2、様々なサービスを利用する中で、異なるパスワードを設定することに対する利用者への負担が依然として大きく影響していることが伺えます(図2)。
一方で利用者(n=1,030)の9割近い89.8%が、「自身の個人情報やWebサービスのID/パスワードが流出することについて不安を感じるか」という質問に対して、「どちらかというと不安を感じる・不安を感じる」と回答しており、不安を感じながらもパスワード管理に関わる課題が利用者を悩ませている現状が分かります。
※2 「あなたは、現在、ID/パスワードでのログインが求められるWebサービスをいくつ利用していますか。あなたご自身がプライベートで利用するもののみについてお答えください。」の質問に対する、各利用者の個数の平均値を算出し、小数点以下第一位を四捨五入した数値です。(n=1,030)
【図1】「あなたは、Webサービスの利用にあたり、パスワードを使い分けていますか。使い分けている方は、何種類のパスワードを使い分けているかお答えください。」(単一回答:n=1,030)
【図2】「パスワードを使いまわす理由はなんですか。」(複数回答:n=863)
■約2割が不正アクセスや情報流出の被害経験あり
過去に不正アクセスや情報流出の被害経験があるWebサービスの利用者※3は17.7%(n=182)となり、被害経験者が約2割にのぼることが分かりました。具体的な被害内容としては「クレジットカードの不正利用」(36.8%)が最も多く、続いて「利用しているWebサービスからの情報流出」(34.1%)という結果になりました(図3)。
※3 「あなたは、過去に不正アクセスや情報流出の被害に遭ったことはありますか。ここでの被害には、直接的に金銭被害が発生していなくても、アカウントの不正操作(SNSアカウントで意図しない投稿等)や、情報流出被害の通知をWebサービス運営元やクレジットカード会社などから受信した場合も含まれます。」の質問に「ある」と回答したWebサービスの利用者。
【図3】「具体的な被害内容をおしえてください。」(複数回答:n=182)
■約半数が被害後に対象アカウントのパスワードを変更
被害経験がある利用者(n=182)に被害後に行った対策をたずねると、被害にあったアカウントのパスワードの変更やアカウントの削除をしていることが分かりました(図4)。これらの対応はある程度の効果は見込めますが、パスワードを使いまわしている場合には十分な対策とは言えません。さらに驚くことに、「何もしない」と回答した利用者が1割以上の13.2%を占めることが分かりました※4。被害に遭ったアカウントをそのまま保持することは、更なる被害に繋がる可能性も非常に高くなるためとても危険な状況です。
※4 当設問は複数回答ですが、「何もしない」は排他選択肢です。
他のサービスから流出したID/パスワードなどの認証情報を悪用して、複数のWebサービスに同じID/パスワードを使いまわしている利用者を標的に不正ログインを行う「アカウントリスト攻撃」は長年用いられているサイバー犯罪の手法です。対策としては、Webサービス毎に異なる、可能な限り長く複雑な、さらに第三者に推測されにくいといったパスワードを設定することが挙げられます。また、本調査結果が示すようにパスワードの設定やその管理に負担がある場合(図2)には、複雑なパスワードを自動的に生成する機能や、生体認証や1つのマスターパスワードで複数のID/パスワードを管理できるパスワード管理ツールなどを活用することも有効です。利用者はID/パスワードなどの認証情報や個人情報が流出しないよう対策することが大切ですが、万が一自身の情報が流出したときにはいち早く流出に気付き、対策を講じられるよう、インターネットに流出した情報を監視するツールやサービスを活用することも有効です。
【図4】「被害にあった後に、対策としてはどのようなことをしましたか。」(複数回答:n=182)
<調査概要>