MD5ハッシュ化パスワードの60%が1時間以内にクラック可能、GPU進化が脅威を加速

世界パスワードデーに衝撃の調査結果

サイバーセキュリティ企業のカスペルスキーが「世界パスワードデー」にちなみ発表した調査結果は、パスワードベースの認証システムの限界を改めて浮き彫りにした。ダークウェブ上の漏洩データから収集した2億3100万以上のユニークなパスワードを対象に行った分析で、MD5アルゴリズムでハッシュ化されたパスワードの実に60%が、たった1時間以内に解読可能であることが判明したのである。

単一GPUによる高速解読の実態

調査では、ハッシュ化されたパスワードの解読にNvidia RTX 5090グラフィックスカードが使用された。その結果、全体の48%のパスワードが60秒以内に、そして60%が1時間以内に平文へと変換された。カペルスキーは「攻撃者が漏洩したパスワードハッシュを解読するために必要なのは、たった1時間だけだ」と指摘し、深刻なリスクを警告している。

RTX 5090は高価なGPUだが、カペルスキーは攻撃者が自前で所有する必要さえない点を強調する。クラウドプロバイダーから高性能GPUをレンタルし、わずかな費用でハッシュ解読作業を行うことが容易に可能だという。これは、サイバー犯罪の参入障壁が技術の進化によって著しく低下していることを意味する。

パスワードの「予測可能性」が脆弱性を増幅

解読がこれほど容易になった根本的な原因の一つは、パスワード自体の「予測可能性」にある。カペルスキーが2億以上の暴露されたパスワードを分析した結果、ユーザーが使う文字列には明確なパターンが存在し、攻撃者はこれを解読アルゴリズムの最適化に利用していることがわかった。これにより、推測すべき組み合わせの探索空間が大幅に狭まり、解読時間が飛躍的に短縮される。

悪化するパスワードセキュリティのトレンド

カペルスキーは2024年にも同様の調査を実施しており、2026年の最新結果と比較可能だ。残念ながら、わずかではあるがパスワードの解読容易性は悪化傾向にあるという。カペルスキーは「攻撃者は、年々性能が向上するグラフィックスプロセッサーのおかげでスピードアップしている。不幸なことに、パスワードは相変わらず脆弱なままだ」と説明する。

「パスワード依存からの脱却」が喫緊の課題

今回の調査結果は、高速ハッシュアルゴリズムであるMD5に限らず、単純なパスワードハッシュ化だけに依存するセキュリティモデルの危険性を示唆する。データ侵害が発生した場合、攻撃者は容易に大量のアカウントにアクセスできてしまう。

業界専門家らは、多要素認証（MFA）の普及や、生体認証、パスキーなど、パスワードに代わる認証技術への移行を加速させる必要性を改めて訴えている。「世界パスワードデー」を祝うのではなく、「パスワード不要の日」へと転換すべきではないかという声すら上がっている。ユーザー個々人が強力でユニークなパスワードを採用し、パスワードマネージャーを活用することも重要だが、システム側の根本的なパラダイムシフトが求められている。