---
url: 'https://www.corbado.com/ja/blog/complex-passwords-cracked-soon'
title: '複雑なパスワードでもすぐに破られてしまう理由'
description: '複雑なパスワードの時代は終わりました。パスキーが安全なログインの未来である理由と、開発者が今すぐ実装する方法を探ります。'
lang: 'ja'
author: 'Vincent Delitz'
date: '2026-05-27T11:02:58.258Z'
lastModified: '2026-05-27T11:03:14.819Z'
keywords: '複雑なパスワード, パスワードの使い回し, クレデンシャルスタッフィング, パスワードレス, パスキー'
category: 'Passkeys Strategy'
---

# 複雑なパスワードでもすぐに破られてしまう理由

すべてのデータ侵害の80%以上はパスワードに関連しています。各アカウントに複雑で異なるパスワードを使用することで、セキュリティを高めることができます。しかし、強力なパスワードを設定している顧客アカウントであっても、ハッキングされる可能性があります。

アプリやウェブサイトなどのデジタルアカウントへのログインについて話すとき、ユーザー名とパスワードの組み合わせが思い浮かびます。秘密のパスワードは数千年前から使用されてきました。これはシンプルな概念であり、個人の間で秘密にされ、身元を証明するために使用される共有情報です。

人々が人生の大部分をオンラインで過ごす現代において、このシンプルな概念の使用は広く普及しています。調査によると、新しいアプリやオンラインサービスの爆発的な増加に対応して、ユーザー1人あたりのパスワードで保護されたアカウントの数が近年急激に増加していることがわかっています。NordPassが委託したある調査によると、2019年から2020年の間にユーザー1人あたりのパスワード数は平均83個から100個へと20%増加しました。

パスワードで保護されたアカウントの増加自体は、最初は問題にはなりません。しかし、ユーザーがパスワードを設定し管理する方法には問題があります。パスワードは静的であるため、ユーザーが記憶するか、付箋やパスワードマネージャーに保存する必要があります。平均的な人が記憶できるのは7つの文字や数字の組み合わせだけであるため、100個の個別のパスワードを記憶するのは非常に困難です。その結果、ユーザーは家族の名前、誕生日、またはインターネット上で依然として最も使用されているパスワードである「123456」のようなシンプルなパスワードを使用する傾向があります。しかし、そもそもなぜパスワードがセキュリティ上の問題となるのでしょうか？

## Key Facts

- **パスワードの使い回し**が多くの侵害の原因です。ユーザーの52%がパスワードを使い回しており、ハッカーは最も脆弱なプラットフォームを悪用して複数のアカウントに同時にアクセスできます。
- フォーブスによると、10万件のデータ侵害による150億件以上の認証情報がオンラインで購入可能であり、**盗まれた認証情報**の量は2018年以降300%増加しています。
- **ブルートフォース**攻撃は1秒間に1,000億回以上の推測を超えるため、複雑なパスワードであっても最新のハードウェアにかかれば数秒で解読される可能性があります。
- **すべてのデータ侵害の80%以上**にパスワードが関与していますが、侵害された認証情報の70%は漏洩後も引き続き使用されています。
- NordPassの調査によると、2020年に平均的なユーザーは100個のパスワードを管理しており、2019年の83個から**20%増加**し、広範な使い回しを助長しています。

## パスワードの使い回しはセキュリティ侵害の最大の原因

すべてのアカウントを管理するため、ユーザーの52%がパスワードを使い回しており、深刻な結果を招いています。これにより、ハッカーは最も弱いリンク（最もセキュリティ基準の低いウェブサイト）を攻撃することで、複数のアカウントへのアクセスを取得できます。たとえば、Facebookアカウントは複雑なパスワードと強力なセキュリティ基準で保護されているとします。しかし、2008年のMySpaceのデータ侵害（3億5,942万698件の認証情報が盗まれた）などの過去のデータ侵害にあなたの認証情報が含まれていた可能性は十分にあります。そして、これはほんの一例にすぎません。フォーブスによると、盗まれた認証情報の数は2018年以降300%増加しています。今日では、10万件のデータ侵害による150億件以上の認証情報を、誰もがインターネット上で購入できます。これらの認証情報を使用して、ハッカーは何百ものプラットフォームで大規模なログインリクエストを実行し、あなたのアカウントへのアクセスを試みます（いわゆるクレデンシャルスタッフィング攻撃）。

## 複雑なパスワードであっても安全ではない

この広く知られているリスクにもかかわらず、侵害された認証情報の70%は依然として使用されています。一般的に、クレデンシャルスタッフィング攻撃は、パスワードマネージャーと組み合わせて、プラットフォーム上の各アカウントに異なる複雑なパスワードを使用することで回避できます。しかし、複雑なパスワードであっても数秒で簡単に解読される可能性があります。昨年、考えられるすべてのパスワードを生成しようとするコンピューターの記録が樹立されました。その速度は1秒間に1,000億回の推測を超えるものでした。このようなスクリプトを使用してランダムなユーザー名とパスワードの組み合わせを試す手法は、ブルートフォースメソッドと呼ばれます。

しかし、パスワードがブルートフォースによって解読されなかったとしても、完全に安全というわけではありません。顧客として、あなたはログインしているプラットフォームのセキュリティ基準を信頼しなければなりません。保護が弱い場合、どんなに複雑なパスワードであっても盗まれる可能性があります。

## ハッカーは創造的で常に手法を改善している

残念ながら、顧客アカウントへの不正アクセスを得るための手法は、クレデンシャルスタッフィングやブルートフォースだけではありません。もう1つの広く普及している手法はフィッシングです。これは、元のサイトの偽のユーザーインターフェースを使用してユーザーを騙し、認証情報を入力させるものです。その他の手法としては、公衆Wi-Fiネットワークなどの通信ストリームを傍受する中間者攻撃や、マルウェアをコンピューターにインストールして認証情報をキャプチャするキーロガーなどがあります。

## パスワードが存在する限り、顧客アカウントはハッキングされる

上記で概説した問題が、すべてのデータ侵害やハッキング攻撃の80%以上がパスワードによるものである理由であり、認証を処理するために単なるユーザー名とパスワードよりも優れたアプローチが必要であることを強調しています。2要素認証（2FA）などの進化はセキュリティ面で正しい方向に向かっていますが、ユーザーの普及率は非常に低いです。では、パスワードを完全に省略してパスワードレスにしてみてはいかがでしょうか？興味を持たれましたか？Corbadoのパスワードレスソリューションを検討し、未来の認証の第一印象を体験してください！

## よくある質問

### 独自の複雑なパスワードを使用するだけでは、アカウントの安全性を保つために不十分なのはなぜですか？

パスワードを保存しているプラットフォームのセキュリティ基準が低い場合、パスワードの強度に関係なく、脆弱なサーバーからパスワードが盗まれる可能性があるため、複雑なパスワードであっても侵害される危険性があります。フィッシング、キーロガー、中間者攻撃などの手法は、暗号化が適用される前に認証情報をキャプチャするため、パスワードがどれほど複雑であっても、パスワード自体が最も弱いリンクとなってしまいます。

### クレデンシャルスタッフィングとは何ですか？また、盗まれた認証情報の規模がそれを非常に危険なものにしているのはなぜですか？

クレデンシャルスタッフィングとは、ある侵害で盗まれたユーザー名とパスワードのペアを使用して、何百もの他のプラットフォームで自動的にテストする攻撃手法です。オンラインで購入可能な10万件以上の侵害から流出した150億件以上の認証情報により、攻撃者は膨大なデータセットを利用できます。2008年のMySpaceの侵害だけでも3億5,900万件以上の認証情報が露呈し、被害者がそれらのパスワードを使い回している限り、現在でも悪用される可能性があります。

### リスクを知っているにもかかわらず、多くのユーザーが依然として脆弱なパスワードや使い回しのパスワードに依存しているのはなぜですか？

平均的な人は約7つの文字や数字の組み合わせしか確実に記憶できないため、100個の独自の複雑なパスワードを記憶することは事実上不可能です。この認知的限界により、ユーザーの52%が複数のアカウントでパスワードを使い回しており、ハッカーはユーザーが登録している最もセキュリティの低いプラットフォームを標的にすることで、複数のサービスにアクセスできるようになります。

### 2要素認証のようなソリューションは、パスワードを完全に置き換えるのに十分ですか？

2要素認証はセキュリティ面で正しい方向に向かっていますが、ユーザーの普及率が依然として低く、実際の効果が制限されていると記事では指摘されています。より有望な方向性は、パスワードレス認証によってパスワードを完全に排除することです。これにより、フィッシング、ブルートフォース、クレデンシャルスタッフィング攻撃の根本原因となる静的な共有シークレットが排除されます。