あなたのパスワードは、今この瞬間もどこかで試されています。
それは特別な攻撃でも、狙い撃ちでもありません。ただ「よくある順番」で当たっているだけです。多くの人は、パスワード漏えいを「どこかの企業がやらかした事件」だと考えます。
自分はすでに変更したから大丈夫。そもそも自分が狙われる理由はない。
そう思って、日常に戻っていきます。
しかし現実は少し違います。
攻撃者は、個人を見ていません。「人が実際に使ってきた文字列」を、機械的に試しているだけです。その基準として使われているのが、RockYouと呼ばれるパスワードリストです。
RockYouとは何か
RockYouとは、過去に流出した大量のパスワードを集めて作られた、いわば「辞書」のようなものです。この名称は、2009年に発生したSNSサービス「RockYou」からの大規模な情報漏えい事件に由来します。
当時、「RockYou」から流出したパスワードのリストは「RockYou.txt」と呼ばれました。
このリストをベースに、その後発生した流出パスワードが追加される形で更新が続けられ、パスワード解析や攻撃手法の検証用途として広く参照されるようになります。
こうした経緯から、「RockYou」という名称は、単一の事件を指すものではなく、流出したパスワードリストの集合体を示す呼称として業界内に定着しました。
年号付きで呼ばれることがあるのは、その時点までに集約された「版」を区別するために過ぎません。新たに盗まれた単一のデータを意味しているわけではありません。
RockYouは、実際に誰かが使っていたパスワード、つまり「過去の選択の集合」です。
だからこそ、このリストは今も意味を持ちます。
推測や理論ではなく、過去の事実に基づいた文字列だからです。
なぜRockYouは今も通用しているのか
RockYouについて語られるとき、多くの人は「昔の流出だから、もう関係ない」と考えます。「すでにパスワードは変更した」、「自分は狙われる立場ではない」、だから問題は終わった、という認識です。
しかし、RockYouが示しているのは「いつ漏れたか」ではありません。「人が実際にどんな文字列を選んできたか」という傾向そのものです。
攻撃者は、個人を狙っていません。価値の高いアカウントかどうかを判断する前に、まず成功確率の高い順番で機械的に試します。その初期値として使われるのが、RockYouのようなパスワードリストです。
これは特別な攻撃ではありません。効率を重視した、ごく普通の処理です。当たれば次に進み、外れれば深追いはしない。そこに感情や選別はありません。
多くのサービスが、今もパスワードを前提とした認証を採用しています。さらに、クラウドやSaaSの普及によって、同じ文字列が複数の場所で使われる機会は増えました。その結果、一度選ばれたパスワードが、別の環境でも試され続けます。
重要なのは、RockYouが原因ではないという点です。これは弱点を生み出しているのではなく、すでに存在している弱さを、そのまま映し出しているだけです。
RockYouが今も通用しているのは、それを前提にしていない設計と運用が、今も残っているからです。
まとめ
RockYouは、過去に実際に使われてきたパスワードの集合であり、攻撃者が最初に試すための基準値として、今も使われ続けています。
だからこそ重要なのは、それを前提に認証をどう設計しているかです。
最低限、やるべきことは明確です。
システム視点で言えば、まず、RockYouのような辞書に含まれる典型的な弱いパスワードを、禁止パスワードとしてシステム側でブロックします。
次に、パスワード単体で守る設計をやめ、MFAを標準とします。可能であれば、フィッシング耐性の高い方式(パスキー等)へ移行します。
さらに、オンラインでの推測を前提に、ログイン試行の制御(レート制限、段階的ロック、検知と通知)を組み込みます。
利用者視点では、「脆弱で短いパスワードを使わないこと」「パスワードを使い回さないこと」といった基本の徹底が求められます。
RockYouが危険なのではありません。
RockYouが通ってしまう設計や、貧弱なパスワードを使ってしまうことが危険なのです。
今日も“強度”を試されている前提を、忘れてはいけません。