日本で最も使われているパスワード、2025年は「admin」が1位？NordVPNが日本パスワード利用実態とセキュリティ対策を解説

個人向けセキュリティサービスを提供するNordVPN（本社：オランダ・アムステルダム、日本代表：小原拓郎）は、1月28日の「データプライバシーデー」に合わせて、傘下のパスワード管理ツール「NordPass」と脅威インテリジェンス「NordStellar」が共同で実施した調査「2025年日本で最も多く使われているパスワード」の結果を発表しました。

調査の結果、日本国内で最も多く使われていたパスワードは、よく知られている単純な数字列「123456」ではなく、ルーターやIoT機器の初期設定で使用される「admin」であることが判明しました。これは、ユーザーがパスワードを「安易に設定する」段階から、そもそも「変更せずに放置する」段階へとリスクの質が変化していることを示しており、生活インフラの乗っ取りリスクが高まっている実態を浮き彫りにしています。

調査概要

本調査は、NordPassとNordStellarが独立系のサイバーセキュリティ研究者と協力し、2024年9月から2025年9月にかけて公開されたデータ侵害およびダークウェブ上のリポジトリを統計的に分析したものです。個人の特定につながるデータは一切含まれていません。

• 調査対象：公開されたデータ侵害およびダークウェブ上のリポジトリから集計された、世界44カ国のパスワードデータおよび関連するメタデータ

• 分析項目：国別の最も多く使われるパスワード、パスワードの強度、文化的背景（氏名などの使用傾向）に基づく脆弱性分析など

• 調査期間：2024年9月から2025年9月

• 調査機関：NordPass、NordStellar

■2025年日本国内パスワード調査

今回の調査結果において最も顕著な特徴は、1位となったパスワードが「最弱のパスワード」とされる「123456」ではなく、デバイスの初期パスワードである「admin」であったことです。日本国内におけるパスワードのセキュリティリスクは、単なる「複雑さの不足」から、IoT機器などの「初期設定を変更せずに利用する」ことへと変化していることが明らかになりました。また、日本特有の人名を含む文字列や、推測されやすい入力パターンも依然として上位を占めており、攻撃者にとって「侵入しやすい環境」が放置されている実態が浮き彫りとなっています。日本国内に限定して分析した今回の調査でも、利便性を優先して推測が容易なパスワードを選択する傾向が依然として続いていることが示されました。

1. 首位「admin」が示すIoTセキュリティの死角

今回、日本国内で最も多く検出されたのは「admin」でした。「admin」は、Wi‑Fiルーターやネットワークカメラ、スマート家電などの管理画面において、出荷時の初期パスワードとして広く使用されています。調査の結果、購入後に設定変更が行われていないデバイスが国内に多数存在することが判明しました。こうした状況は、ハッカーにとって家庭内ネットワークへの侵入や、IoT機器を踏み台にしたサイバー攻撃の実行を可能にするリスクとなります。

2. 「yamamoto」など日本人の名前もランクイン

6位には「yamamoto2580」がランクインしました。「自分の名前＋数字」の組み合わせは、SNS等の公開情報と照合されやすく、日本国内のユーザーにとってリスクが高いことが改めて確認されました。ハッカーは、日本人の氏名リストや日本の文化・言語に特化した辞書を用いてパスワードの組み合わせを生成することが可能であり、こうした傾向は不正アクセスのリスクを高める要因となります。

3. 「工夫したつもり」のパスワードの脆弱性

12位の「1qaz2wsx」（キーボードの左端を縦に入力したもの）や、18位の「P@ssword123456」（aを@に置換したもの）のような、ユーザーが工夫して複雑化したつもりのパスワードもランクインしました。ハッカーにとって、このような「物理的パターン」や「典型的な文字置換」はすでに広く知られており、攻撃用の組み合わせとしてデータベース化されています。これらのパスワードは短時間で看破される可能性があります。

（参考：2025年 日本で最も使われるパスワード Top 20）

1. admin

2. 123456

3. password

4. Freemima123

5. 12345678

6. yamamoto2580

7. Chan8899

8. rosycash

9. 102030Abcd

10. Mokariku

11. tootoo

12. 1qaz2wsx

13. Kanazawa2

14. 123456789

15. mirror2009

16. never4getyou

17. 2020Sank

18. P@ssword123456

19. apple555

20. aabbccdd1234

■ハッカーによるパスワード攻撃の手口

今回の調査において、ハッカーは単に手作業でパスワードを推測しているのではなく、高度な手法を用いて効率的に攻撃を仕掛けている実態が再確認されました。

• ブルートフォース攻撃（総当たり攻撃）：自動化されたアルゴリズムを使用し、あらゆる文字の組み合わせを高速で試行する手口です。「admin」や「123456」のような単純なパスワードは、この攻撃に対してほとんど防御効果を持ちません。

• 辞書攻撃とルールベース攻撃：「yamamoto」や「P@ssword」のように、人が使いがちな単語や一定の法則（ルール）を登録した辞書を用いて攻撃します。日本の文化に合わせた辞書が使われるため、日本人の名前も瞬時に解析されます。

• パスワードリスト攻撃：過去に流出したIDとパスワードのリストを使い、別のサービスへのログインを試みる手口です。いわゆる「パスワードの使い回し」をしているユーザーを狙い撃ちにするものです。

■NordVPN最高技術責任者（CTO） マリユス・ブリエディスが推奨する、4つのパスワードセキュリティ防御策

■NordVPN最高技術責任者（CTO） マリユス・ブリエディスのコメント

「パスワードはハッカーから、私たちの『デジタル資産』を守る壁のようなものです。氏名、住所、資産など大切な個人情報が保存されているアカウントには、より強固な壁を構築する必要があります。しかし今回の調査では、日本でも多くのユーザーが『admin』のまま、もしくは『推測可能な文字列』でその壁を構築していることが明らかになりました。油断しがちなパスワード習慣は国境を問わず共通していることが分かります。『データプライバシーデー』を迎える今だからこそ、パスワードの見直しを行いましょう。パスワードを強化することは、プライバシーを守るだけでなく、デジタルライフ全体を保護する、確実かつ効果的な行動です。」

■NordPassプロダクト責任者 カロリス・アルバチアウスカスのコメント

「一般論として、これまで長年にわたってサイバーセキュリティ教育やデジタル意識向上の取り組みが行われてきましたが、データを見る限り、パスワード管理（パスワード・ハイジーン）の改善はごくわずかにとどまっています。世界は、生体認証に基づく新しいパスワード不要の認証方式『パスキー』へと徐々に移行しつつありますが、広く普及するまでは、強固なパスワードが依然として非常に重要です。特に、データ侵害の約80％は、漏えい・脆弱・使い回しといったパスワードが原因で発生しており、サイバー犯罪者は成功するまで攻撃を繰り返すことになります。」

■NordVPNについて

NordVPNは、世界中で何百万人ものユーザーをもつ先進的なVPNサービスプロバイダーです。8,200台以上のサーバーを世界127カ国165都市で提供し、専用IPやDouble VPN、Onion Over VPNサーバーなど、多彩な機能を備え、トラッキングなしでオンラインプライバシーを強化します。主要機能の一つである「脅威対策Pro」は、悪質なウェブサイトやトラッカー、広告のブロックに加え、マルウェアのスキャンが可能です。さらに、最新の製品であるグローバルeSIMサービス「Saily」を展開しています。「Saily」は海外旅行者向けに設計されており、現地でSIMカードを購入する必要がなく、簡単にデータ通信が利用可能です。

【会社概要】

会社名：NordVPN

本社：Fred. Roeskestraat 115 1076 EE Amsterdam, Netherlands

日本代表：小原拓郎

NordVPNウェブサイト：https://nordvpn.com/ja/

VPNについて：https://nordvpn.com/ja/what-is-a-vpn/