Photo: Kapustin Igor/ Shutterstock.com

誰だって生きていれば得意なことも苦手なこともあります。

なんでもできちゃう人でも、たまにある苦手なこと。その苦手が意外に感じられると、「ギャップがかわいいね」なんてことになります。生きてないし、それがギャップ萌えに繋がるかもわかりませんが、AIってパスワードを生成するのが苦手なんですって。意外ですね。

ランダムが苦手

サービスに登録するときに求められるパスワード設定。人間が決めると、舐めてんのか?ってくらい安易なパスワードが設定されがち。そこで、絶対覚えられないような複雑な数字・アルファベット・記号の並びを出力してくれるパスワード生成機能が重宝されるわけです。が、それがまさか根本的には弱いなんて…。

AIが生成するパスワードについて調査したのは、サイバーセキュリティファームのIrregular。調査対象としたAIは、Claude、ChatGPT、Geminiの3つ。調査にあたっては数字、アルファベット、記号を含む16桁のパスワード生成をお願いしました。

できたパスワードをパスワードチェックのKeePassにかけたところ、AI生成パスワードは安全性が高いと評価されました。

パスワードチェッカーの結果でも安全性は高いっていうし、人間も覚えられないほど複雑なのに、AI生成パスワードの何がダメなんでしょう。Irregularの調査によると、大規模言語モデルのAIはランダムな生成に弱いのだというのです。

例えば、AnthropicのClaude Opus 4.6に「50通りの個別パスワードを作ってください」とお願いするとします。するとなぜか、めちゃくちゃ予測しやすい傾向で生成していくのです。結果、できたパスワードもわかりやすいルールが…。

パスワード1文字目はまずアルファベット、これは大文字「G」が多く、その次は数字が続き、ここでも「7」が人気。他に人気なのは「L」「9」「m」「2」「$」「#」で、50通りのパスワードすべてで使用されていました。一方、それ以外のアルファベットのほとんどは、50のパスワードで1度も使用されていませんでした。

こうしたAIのお気に入りパターンはClaudeだけでなく、他のモデルでも見られました。OpenAIのChatGPTなら「v」と「Q」。ほぼすべてのパスワードが「v」始まりで、およそ半分が2文字目が「Q」でした。GoogleのGeminiの場合、ほとんどのパスワードが大文字か小文字の「K/ k」からのスタートで、次に「#」「P」「9」が続くのがあるあるパターン。

AIパスワード生成は、アルファベットや数字など使用できる文字すべてをパスワード作りに使用するのではなく、なぜか一部に限って繰り返し使用する傾向があります。

調査チームのリサーチャーいわく、大規模言語モデルとしてはランダムな選択をしようとはしているようだが、生成されたものはルールにのっとったパターンで、ランダムとは対極にあるものになっているようだとのこと。悩ましいですね。ただ、50通りを生成したなかで同じパスワードを生成するようなミスはなかったとのことです。

AI生成パスワードは突破されやすい

パスワードの安全性の高さは、突破までにかかる回数が鍵です。

例えば、パスワードが「11111」か「12345」のどちらかだった場合、突破できる確率は50%。パスワードの強度を示すパスワードエントロピーのスコアは1。

正解パスワードの可能性が1000個あれば、最大チャレンジ数は1000回で、エントロピースコアは10くらい。さらにパスワードに使用された文字がランダムであればあるほど、エントロピースコアは上がっていきます。

もし、スコア20のパスワードがあった場合、突破までの最大チェレンジ回数は100万回ほどになりますが、これ、現代のプレミアGPUを搭載したマシンならものの数秒で突破できてしまうのだそう。

一方で、スコアが100まであがると、突破に1兆年かかるのだとか。

では、エントロピースコアでみる、AI(大規模言語モデル)が生成したパスワードの強度はどの程度のものか…。リサーチャーいわく、安全性が高いエントロピースコアが1文字あたり6.13スコアだとしたら、AIパスワードのスコアは2.08。

…低いです。

一般的な16桁のパスワードのエントロピースコアを98としたとき、AIパスワードのスコアは27。パスワードハッキング攻撃には非常に弱いことがわかりました。

また、リサーチャーいわく、GitHubやその他の技術的書類のパスワードを見ていると、AIで生成しただろうパスワードを見分けるのも簡単だとか。

より安全なパスワードのために

自分の情報、アカウント守るパスワード。その安全性をより高めるためにどうすればいいのか。今回の調査から1つ言えることは簡単です、パスワードを考えるのをAIにはお任せしないこと。現に、Geminiでは「情報の扱いが難しいアカウントのパスワードは、Geminiで作るべきではない」という旨の注意が表示されます。

とはいえ、人間の考える「12345」もダメなんですけどね。

【こちらもおすすめ】
GIZMODO テック秘伝の書
1,650円
Amazonで見る
PR