想定読者と本記事の位置づけ
・想定読者 : セキュリティ初心者
・セキュリティ技術に興味を持ってもらえるように簡単な検証と技術の必要性を紹介する記事です。
・私自身もセキュリティ初学者であるため、備忘録として執筆しています。
・内容に誤った記載を見つけましたら、コメントでご指摘いただけますと幸いです。勉強させていただきます。
検証背景
先日、NordVPN によって開発されたパスワードマネージャー「NordPass」が、「世界で最もよく使われるパスワード」の 2024 年版を発表しました。このランキングを解説している Gigazine の記事 によると、日本企業に関連した使用数ランキングで「nyanmage」が 6 位、「takahiro」が 20 位にランクインしているとのことです。
Microsoft Entra ID でパスワードを新規に作成する際、使用頻度が高い最新のパスワードにもパスワード保護機能が有効になっているのか気になり、簡単に検証してみました。
Entra ID のパスワード保護機能とは?
Entra ID(旧 Azure AD)のパスワード保護機能は、以下の仕組みで、リストに登録されたパスワードの利用を禁止することで、パスワードスプレー攻撃などの侵害からアカウントを保護します:
- グローバル禁止パスワードリスト:一般的なパスワードや脆弱とされるパスワードを含むリスト。
- カスタム禁止パスワードリスト:組織が独自に設定可能な追加リスト。
これにより、組織内で脆弱なパスワード使用を未然に防ぐことができます。詳細については Microsoft の公式ドキュメントを参照してください。
参考:グローバルおよびカスタム禁止パスワードリスト - Microsoft Entra
Entra ID のパスワード設定で起きた現象
実際の検証結果です。
Microsoft Entra ID の新規ユーザー作成時に、パスワードを「nyanmage」+簡単な数字と記号で設定しようとしましたが、Entra のパスワード保護機能により弾かれました。
一方で、「nyanmage」と同じ文字数(8文字)のランダムなアルファベット+同じ数字と記号を組み合わせたパスワードでは問題なく設定が可能でした。この現象から、「nyanmage」が Entra ID のグローバル禁止パスワードリストに登録されている と推測しました。
検証結果まとめ
以下は本検証の結果です:
| パスワード候補 | 設定可能か | 理由/推測 |
|---|---|---|
| nyanmage123! | ✖ | グローバル禁止パスワードリストに含まれる |
| hdnvdkmg123! | ✔ | ランダムな文字列のため問題なし |
なぜ「nyanmage」は弾かれるのか?
「nyanmage」は、日本の企業ランキングで 6 位にランクインしており、一定の利用頻度があると考えられます。Entra ID のグローバル禁止パスワードリストは、こうしたよく使われるパスワードを特定してリスト化しているため、弾かれた可能性が高いです。
まとめ
パスワード管理の重要性を考えると、脆弱なパスワードを防ぐ Entra ID のパスワード保護機能は非常に有用です。
ユーザーアカウントの侵害から、組織の機密情報を盗まれてしまう事例が発生することは少なくありあません。「nyanmage」のような一般的に知られるパスワードは避け、ランダムで複雑なパスワードを設定することで、身近なセキュリティから強化していきましょう!