セキュリティ企業のSplashDataは、2011年から毎年「よく使われるパスワードランキング」を発表している。リストの元となっているのは、漏洩したアカウント情報だ。

人間のパスワード設定のお粗末さを思い出させるために作成されるこのランキングには、常に「abc123」「123456」「letmein（わたしを入れて）」といった予想が簡単なパスワードがランクインしている。そんななか、ほぼ毎年登場し異彩を放っているひとつのパスワードがある──「dragon（ドラゴン）」だ。

なぜドラゴンなのだろう？ ちょうどこのランキング創設と同じ年にはじまったテレビドラマ『ゲーム・オブ・スローンズ』が、人気を博したせいだろうか？ それとも、テーブルトークRPG『ダンジョンズ&ドラゴンズ』のファンがやたらパスワードを盗まれたせいだろうか？

それも一因かもしれない。しかし、いちばん説得力のある説明は、おそらくあなたが思っているよりもシンプルなものだ。

ドラゴンを追え

「ドラゴン現象」は、SplashDataのパスワード解析方法ゆえに起きるものではないらしい。

この生き物は、昨年発表された別のパスワードランキングでも10位にランクインしている。このランキングは、セキュリティコンサルタントのマーク・バーネットが集めたデータを元に、「WordPress」のホスティング企業であるWP Engineが作成したものだ。

ドラゴンはKeeper Securityが2016年に発表したパスワードランキングには登場しなかったが、同ランキングはボットが作成したであろうアカウントも考慮に入れている。

また、SplashDataのランキングに登場するパスワード上位100個の顔ぶれは毎年比較的安定しているため、このドラゴン現象が『ゲーム・オブ・スローンズ』のヒットによって起きていた可能性は排除される。

2005年に『Perfect Passwords（完璧なパスワード）』を出版したバーネットはこう話す。

「本のなかのリストに、『dragon』という単語が含まれたパスワードを数百個書いた覚えがあります。人は、自分にとって大切な存在をパスワードのベースにすることが多い。そしてどうやら、ドラゴンたちはこのカテゴリーに入るようなのです。『ゲーム・オブ・スローンズ』『スカイリム』『ダンジョンズ&ドラゴンズ』といった作品を通じて、ドラゴンはわれわれの文化に大きく貢献しています」

理由のひとつは、データの出どころ？

研究者たちによるデータの検証方法も、パスワードのドラゴン人気に貢献した可能性がある。「dragon」という単語をパスワードに使っている人も数万人いるだろうが、そもそも研究対象となったパスワードの出どころにも若干の偏りがあるのだ。

研究者たちは、企業に「顧客のパスワード情報を教えて」などとお願いすることはできない。このため、彼らのデータはハッキングされ公に流出した情報に大きく依存している。

つまり、データの流出元サイトのセキュリティーが全体的に甘く、パスワードの設定条件も緩い可能性が高いのだ。

「複雑な設定条件を課すサイトからは、情報が流出しにくいのです」と、ローリー・フェイス・クレイナーは言う。彼女はカーネギーメロン大学のコンピューターサイエンティストで、8年にわたってパスワード設定について研究を続けている。

「ドラゴン」が人気なのは、ハッキングされたサイトがパスワードに数字や記号などを含めるようユーザーに求めていないことが多いからかもしれない。

「30代」「男性」という偏り

パスワードデータの流出元サイトは、結果に偏りを生じさせる可能もある。

たとえば、WP EngineはGmailのメールアドレスにひも付けられていたと思しきパスワード500万件を検証している。同社はメールアドレスから、ユーザーの性別と年齢を推定しようと試みた。「JohnDoe84@gmail.com」というメールアドレスの持ち主なら1984年生まれの男性と推定できる、といった具合だ。

この方法を使って、研究者たちはデータセットが1980年代生まれの男性のものに偏っていることを発見した。情報の多くがマッチングサイトの「イーハーモニー」やアダルトコンテンツサイトから来ているからだろう。

『ロード・オブ・ザ・リング』『ダンジョンズ&ドラゴンズ』『ゲーム・オブ・スローンズ』が30代男性に人気であることを考えると、データセットに「dragon」が頻繁に登場することも想像できるだろう。

2014年、バーネットはSplashDataのパスワードランキングの編集に携わっている。最初に結果を出したとき、彼は「lonen0」というパスワードがランキング7位と、異常によく使われていることに気がついた。

数万人が突如「lonen0」という文字列を思いついたわけではない。これは、ハッキングに遭ったベルギーのEASYPAY GROUPという企業のデフォルトパスワードだったのだ。ユーザーの1割が、デフォルトのパスワードを変更せずに使っていたのである。

解読もしやすい「dragon」

「dragon」がパスワードとして人気に見えるもうひとつの理由は、このパスワードが「123456」などと並んで“解読”しやすいことだ。

企業は自社がもっている情報をハッシュ化していることが多い。もし情報がハッカーの手にわたっても、サイトにアクセスしづらくなるようにだ。

ハッシュ化されたデータは、人間には解析できないランダムな文字列に見える。しかし、ハッシュ化のなかには脆弱なものもある。ハッカーはすべてのパスワードは割り出せないにしろ、スクリプトを使ってよく利用される一部のパスワードについては元の入力値を割り出すことができるのだ。

こうした偏りの可能性があるものの、クレイナーやバーネットといった研究者たちは自らのデータベースを細心の注意をもって構築している。これまでいくつものサイトがハッキングされてきたため、彼らのもとにはかなり安定したデータベースがある。

とはいえ、データの偏りやコントロール不足のため、ウェブ全体で「最も頻繁に利用される」パスワードを割り出す作業は本物の科学とは言えないだろうとバーネットは言う。

クレイナーの研究によると、「dragon」のようなパスワードが多く使われる理由は「マイケル」「ジェニファー」といったよくある名前や、「野球」のようによく好まれるアクティヴィティがパスワードによく使われる理由と同じだということを示している。

「人は自分が好きなものに関連するパスワードをつくることが多いのです。たとえば、『iloveyou（愛してる）』はどの言語においてももっともよく使われるパスワードのひとつです。

もうひとつの人気ワード「monkey（サル）」

クレイナーは研究中、人がなぜ動物や架空の生き物にこれほど吸い寄せられるのか不思議に思っていたという。特に不思議に思えたのは、「dragon」とともに常にランキング上位に登場する「monkey（サル）」だ。

研究のなかで、クレイナーは実際にこのパスワードを選んだ人々にその理由を尋ねた。

「サルが好きだから、サルは可愛いからだと言っていました」とクレイナーは言う。「なかには『monkey』という名前のペットを飼っているから、あるいは『monkey』というあだ名のともだちがいるからと答えた人もいました。みなさんポジティヴな理由でした」

ドラゴンを選ぶのも、似た理由らしい。パスワードに「dragon」という単語を使っているある人物（パスワードにかかわる情報のため匿名）は、『WIRED』US版にこう説明した。

「『dragon』をパスワードに使い始めたのは90年代初頭のことで、それ以来ずっと“変形”させてきました。当時『ダンジョンズ&ドラゴンズ』の十年来のファンだったこと、そしてゲームの『レジェンド・オブ・ザ・レッド・ドラゴン』をインストールしたばかりだったことがきっかけでしたね」

「パスワードは、他人が自分のアカウントに入りづらくするためのものだと言われたんだ。ドラゴンはクマみたいな現実の生き物よりも非日常的だし、大きくて怖いでしょ」と、また違うドラゴンユーザーは言った。「ご指摘の通り、オタクなゲームや掲示板みたいなものもかなりよく使っていたんだけど」

若いときに、単に「かっこいいから」という理由でパスワードにドラゴンを使うこともあるらしい。あるユーザーはこう答えた。「パスワードを考えたのは、13歳のときだったんだ」