英数文字を含めた13桁のパスワードは何通り？パスワード解読可能かどうか検証！

尼崎市が、市民全員分の約46万人分の個人情報が入ったUSBメモリを紛失し個人情報が流出した恐れがあるという問題で、会見でパスワードのヒントを言ってしまったことが話題になっています。

1. 英数文字を含めた13桁のパスワード
2. パスワードは一年毎に変えている

また、調査の結果デマだと分かったのですが、一時、以下の情報も流れていました。

1. 尼崎市として意味のある単語と数字
2. 始めだけ大文字にして文法的にも正しい

6/24 14:00頃、USBメモリは見つかったとのことでしたが、セキュリティ意識の低さが露呈された結果となっています。

果たして、これだけヒントがあればいつかは解読できるものなのでしょうか？

今回は、英数字を含めた13桁のパスワードという情報で考えられるパスワードが何通りあるのかの調査と、他のヒントを考慮してパスワードが解読可能かどうかを検証します。

英数文字を含めた13桁のパスワードは何通り？

単純に「英数文字を含めた13桁のパスワード」という情報からでは、英文字が大文字も小文字も含んでいるのかはわかりませんので、それぞれのパターンでのパスワードの種類は何通りなのか検証してみました。

パターン1：英文字が大文字も小文字も使用されている場合

「英数文字を含めた13桁のパスワード」という情報に加え、英文字が大文字も小文字も使われている場合は、以下の文字が使用されていると予想できます。

• 英文字（小文字）　aからzまでの26文字
• 英文字（大文字）　AからZまでの26文字
• 数字　0から9までの10文字

上記より、すべての文字の合計は26+26+10=62文字です。

そして、1桁に対して62文字の可能性がありますので、62種類が13桁であれば以下の式で表されます。

62¹³ = 200,028,539,268,669,788,905,472通り

パターン2：英文字が小文字だけor大文字だけ使用されている場合

「英数文字を含めた13桁のパスワード」という情報に加え、英文字が大文字のみor小文字のみ使われている場合は、以下の文字が使用されていると予想できます。

• 英文字（小文字）　aからzまでの26文字　または、英文字（大文字）　AからZまでの26文字
• 数字　0から9までの10文字

上記より、すべての文字の合計は26+10=36文字です。

そして、1桁に対して36文字の可能性がありますので、36種類が13桁であれば以下の式で表されます。

36¹³ = 170,581,728,179,578,208,256通り

---

上記どちらのパターンでも、桁が多すぎて、何が何だかわかりませんね…

英数文字を含めた13文字のパスワードは解読可能か？

では、「英数文字を含めた13文字のパスワード」という情報で、パスワードは解読できるものでしょうか？

「英数文字を含めた13文字のパスワード」で解読可能か？

パスワードの解読についてはいろんなやり方があると思いますが、もっともよく知られているのは、パスワードで理論的に有り得るパターン全て試して解読を試行する「総当たり攻撃（ブルートフォースアタック）」という暗号解読法です。

以前、上野宣さん（@sen_u）さんという方が、Redditに掲載されていた情報を日本語化した「総当たり攻撃時のパスワード最大解読時間の表」をTwitterで公開していました。

総当たり攻撃時のパスワード最大解読時間の表を日本語化した。https://t.co/cVSNUZkAKv pic.twitter.com/rtS8ixwOqi

— Sen Ueno (@sen_u) August 17, 2021

ちなみに、Redditというのは欧米で流行しているソーシャルニュースサイトです。Redditについては別記事にまとめていますので興味がある方はどうぞ。

---

上野さんの掲載した表によると、「英数文字を含めた13文字のパスワード」＊大文字・小文字両方使用が総当たり攻撃（ブルートフォースアタック）で解読できる最大の時間は「10万年」とのことです。

要は、「英数文字を含めた13桁のパスワード」という情報だけでは、なかなか解読が難しいという結果が見えてきましたね。

「パスワードは1年に1回変えている」で解読可能か？

しかし、今回の会見では、「英数文字を含めた13文字のパスワード」以外にも、冒頭に述べたように別の情報についても公開してしまっていましたので、そちらについても確認しましょう。

それは、「パスワードは1年に1回変えている」です。

この情報から、パスワード中に年号が入っているのではないか？という可能性が見えてくるような気がしませんか？

例えば、今年なら西暦2022年ですので、「2022xxxxxxxxx」や、「xxxxxxxxx2022」など。

年が変わったら2022を2023にすればいいわけなので、パスワードを管理する側からすると管理しやすいですね。結局、管理するのは人間ですので、やはり忘れそうなパスワードは避けたいという意識もはたらきますよね。。

しかし、解読する側からすると、13桁のうちの4桁は年号でいいわけですから、残りの9桁について解読を試みればよいわけです。

前述の、「総当たり攻撃時のパスワード最大解読時間の表」で確認すると、9桁のパスワード解読にかかる最大解読時間は「3日」です。

13桁の時が10万年だったのですが、極端に減りましたよね…

解読しようとしている側からすると、とても好都合なパターンになりました。

しかし、ここまでの情報を総合的に判断しても、「英数文字を含めた13桁のパスワード」はそう簡単には解読ができないということがわかりました。

そう簡単に解読ができないということがわかっているから、市の担当者はいろいろな情報を話してしまったんでしょうかね？？それともうっかり？

どちらにしろセキュリティ意識が低すぎますね…

英数文字を含めた13桁のパスワードは何？

ネット上では、ここまで紹介してきた情報から、今回のパスワードが「Amagasaki2022」「amagasaki2022」、または「2022Amagasaki」「2022amagasaki」が濃厚であるという声が多く上がっています。

この予想は秀逸ですね。

尼崎市に関係があり、毎年パスワード変更する手間を考え年号、で13文字。

しかし、実際のパスワードは担当者のみぞ知るということで、今のところ個人情報が流出した形跡はないとのことでした。

---

「英数文字を含めた13桁のパスワード」という情報からいろいろな検証をしてきましたが、パスワードの変更のサイクルや、予測が難しい文字列にするなど、私たちの日常でも同じように注意すべきことだと思いますので、この記事を読んでいる皆さんもパスワード管理には最大の注意を払ってくださいね。

【おまけ】デマだったけど検証してみた2項目

今回のニュースで、「英数文字を含めた13桁のパスワード」という情報も含めて情報を4項目話してしまったという情報が流れていました。調査の結果、以下の2項目はデマだと分かりました。

• 尼崎市として意味のある単語と数字
• 始めだけ大文字にして文法的にも正しい

しかし、せっかくなのでそのデマ情報についても、これが本当だったらパスワードのパターンがどのように変化するのか検証してみました。

「尼崎市として意味のある単語と数字」で解読可能か？

「英数文字を含めた13文字のパスワード」以外のヒントで一時話題になっていたけど、結果的にデマだった「尼崎市として意味のある単語と数字」についても検証してみましょう。

この情報を公開することで言えることは、ランダムな文字列ではないということを暗に伝えてしまっているということです。

この情報がデマではなかったら、担当者が覚えやすい、尼崎市に関連した単語＋数字が使われていたということになりますね。

「始めだけ大文字にして文法的にも正しい」で解読可能か？

「英数文字を含めた13文字のパスワード」以外のヒントで一時話題になっていたけど、結果的にデマだった「始めだけ大文字にして文法的にも正しい」についても検証してみましょう。

この情報を公開することで言えることは、英単語の最初は大文字にするということを守っているということです。最初の文字は、数字でも英文字の小文字でないため、英文字の大文字の中の26種類の中の1つであることがわかります。62文字から26文字に絞られますので、解読する側にとっては好都合になるわけです。

---

ということで、ネットにはデマ情報もありますので、踊らされないようにしましょう。