ランダムな文字列っぽい「ji32k7au4a83」というパスワードが大量のユーザーに使われていた理由とは?
by www.shopcatalog.com
ユーザー認証などに使用するパスワードは外部から推測しにくいものが推奨されており、意味の通らない英字や数字の組み合わせはほかの人とパスワードがかぶりにくく、セキュリティが高いと思われがちです。しかし、エンジニアのRobert Ou氏は「ji32k7au4a83」という一見意味の通らないパスワードが多くの人に使われていることを発見し、「なぜこのようなランダムに見える文字列がたくさんの人に使われているのか?」という謎についてTwitterで発信しました。
Fun thing I learned today regarding secure passwords: the password "ji32k7au4a83" looks like it'd be decently secure, right? But if you check e.g. HIBP, it's been seen over a hundred times. Challenge: explain why and how this happened and how this password might be guessed
— Robert Ou @ BSidesSF (@rqou_)
Why 'ji32k7au4a83' Is a Remarkably Common Password
https://gizmodo.com/why-ji32k7au4a83-is-a-remarkably-common-password-1833045282
Ou氏は「ji32k7au4a83」という文字列について、パスワードの漏えいをチェックするサイト「Have I Been Pwned: Pwned Passwords(HIBP)」で流出回数をチェックしてみたとのこと。HIBPはMicrosoft Regional Directorであるトロイ・ハント氏によって作成されたサービスであり、過去に発生した個人情報流出事件において自分のパスワードが流出したのかどうかを、誰もが無料で簡単にチェックできるサービスとなっています。
無料で自分のパスワードが過去の漏洩データに載った危険なものかどうかをチェックできるサービス「Pwned Passwords」 - GIGAZINE
実際にHIBPで「ji32k7au4a83」の流出回数をチェックしてみると、驚いたことに記事作成時点でなんと141回もの漏えい履歴がヒットしました。この回数からすると、少なくとも同じ「ji32k7au4a83」というパスワードをさまざまなサービスで使用した複数の人々がおり、そのパスワードが何らかの事件に巻き込まれて流出したと考えられます。また、多くの人はパスワード流出に巻き込まれることがないことを考えると、さらに多くのユーザーが「ji32k7au4a83」というパスワードを使用していると推測できます。
いったいなぜランダムな英数字の並びに見える「ji32k7au4a83」というパスワードが頻繁に使われているのか、Ou氏はTwitter上で問題として出題しました。その結果、Twitterのフォロワーからは見事に正しい答えが寄せられたそうです。
実は「ji32k7au4a83」という文字列は、中国語の発音記号の一つである「注音符号」からきたものだそうです。注音符号は古代の篆書などから字形の簡単なものを取って表音文字として使う方式で、1文字から3文字で声調を除く中国語の1音節を表すことができます。拼音(ピンイン)による表記が一般的な中国ではほとんど使われていないものの、台湾では現役で使われているとのこと。
台湾ではPCなどへの入力においても注音符号を用いた注音輸入法が使用されており、注音輸入法用のキーボードには、キーボードに注音記号が刻印されています。2011年に台湾で行われた調査によると、実に71.3%の人が注音輸入法による中国語入力を行っているそうで、台湾では主流の入力方法となっています。
注音輸入法に対応したキーボード配列はこんな感じ。赤で示されたのが注音符号であり、この組み合わせを用いて中国語の音を入力し、日本語と同じように漢字へと変換することが可能。近年では文脈判断による複数文字の一括変換精度も向上しており、注音輸入法の変換効率は格段の進歩を見せているそうです。
そこで「ji32k7au4a83」という文字列を注音輸入法に従って分解すると、「ji3」「2k7」「au4」「a83」という4つのまとまりに分けることができます。それぞれのまとまりは声調を含めた1音節を表しており、「ji3」→「ㄨㄛˇ」、「2k7」→「ㄉㄜ˙」、「au4」→「ㄇ一ˋ」、「a83」→「ㄇㄚˇ」という風に、最初の2個の注音符号で子音と母音を、最後の1個で声調を表す注音符号表記となります。
「ㄨㄛˇ」「ㄉㄜ˙」「ㄇ一ˋ」「ㄇㄚˇ」というそれぞれの注音符号表記をローマ字+声調に直し、さらに漢字へと変換するとこのようになります。
「ㄨㄛˇ」→「u+o+第三声」→「我」
「ㄉㄜ˙」→「d+e+軽声」→「的」
「ㄇ一ˋ」→「m+i+第四声」→「密」
「ㄇㄚˇ」→「m+a+第三声」→「碼」
「我的密碼」という4文字はそのまま「My Password(私のパスワード)」という意味になります。つまり、台湾のユーザーに「ji32k7au4a83」というパスワードを使っているパターンが多いのは、英語話者が「mypassword」をパスワードに設定するのと同じ理由といえます。中には「これは注音符号表記だから簡単にはわからないだろう」と考えていたユーザーも複数いたかもしれませんが、HIBPの流出結果を見る限り、同じ考えを持ったユーザーは少なくなかったようです。
by JeongGuHyeok
・関連記事
最悪のパスワード2018年版、トップは安定の「123456」 - GIGAZINE
2017年最悪のパスワード100発表、トップは不動の「123456」 - GIGAZINE
最もよく使われている危険なパスワードトップ25リスト、年度ごとにパスワードにも流行があることも明らかに - GIGAZINE
Adobeから流出したパスワードでよく使われていたものトップ100が公開される - GIGAZINE
8文字のWindowsパスワードはわずか2時間半で突破可能と判明 - GIGAZINE
無料で自分のパスワードが過去の漏洩データに載った危険なものかどうかをチェックできるサービス「Pwned Passwords」 - GIGAZINE
自分のメールアドレスやID名で検索するとハッキングされて過去の流出リストに入っていたかどうかがわかる「Have I been pwned?」 - GIGAZINE
・関連コンテンツ
