日本で最も使われているパスワードは「admin」、IoT機器の初期パスワードを変更せずに放置か？ NordVPN調査

　NordVPNは、1月28日の「データプライバシーデー」に合わせて「2025年日本で最も多く使われているパスワード」の調査結果を発表した。1位は「admin」で、以下「123456」「password」「Freemima123」「12345678」の順となっている。

　同調査は、同社が提供するパスワード管理ツール「NordPass」と脅威インテリジェンス「NordStellar」が研究者と共同で実施したもの。2024年9月～2025年9月に公開された漏えいデータとダークウェブ上のリポジトリを統計的に分析して行われた。

2025年に日本で最も使われているパスワードは「admin」

　今回の調査結果では、2025年に日本で最も使われているパスワードはよく知られている単純な数字列「123456」ではなく、「admin」であることが分かった。「admin」という文字列は古いIoT機器の初期パスワードに使われているものと推測され、同社は、日本国内におけるパスワードのセキュリティリスクについて、これまでのような単なる「複雑さの不足」から、IoT機器などのパスワードを「変更せずに放置する」ことに変化していると指摘した。

　また、日本特有の人名「yamamoto」を含む文字列や、推測されやすい入力パターンも上位に入っており、利便性を優先して推測が容易なパスワードを選択する傾向が依然として続いていることが示されたとしている。

　かつては、IoT機器（ネットワーク機器）の初期パスワードは同一モデルなら共通で、推測されやすい簡単な文字列であることが多く、初期設定時に推測されにくい文字列に変更してから使うことが常識と考えられていた。しかし、初期パスワードのまま利用するユーザーが多く、これが機器乗っ取りなどのサイバー攻撃の原因になることが知られるようになり、近年では、初期パスワードとして1台1台固有、かつ推測されにくい文字列が設定されるようになっている。

　例えば、Wi-Fiルーターにおいては、国内のメーカーらによる団体である一般社団法人デジタルライフ推進協会（DLPA）が2019年に安全性の高い製品として「DLPA推奨ルーター」を発表し、その条件の1つに、固有かつ推測されにくいパスワードの割り当て（パスワード固有化）を設けている。また、2025年から経済産業省と独立行政法人情報処理推進機構（IPA）が運用している、IoT機器のセキュリティラベリング制度「JC-STAR」でも、汎用の初期パスワードや脆弱なパスワードを使用しないことを条件の1つとしている。

日本で最も使われているパスワードのランキング

推測されにくいパスワードへの見直しを

　今回の調査において、攻撃者は単に手作業でパスワードを推測しているのではなく、以下に示すような手法を用いて効率的に攻撃を仕掛けている実態が再確認されたという。