絶対にばれない?暗号に学ぶ自分流パスワードの作り方

「暗号」と聞いたら、戦時の軍隊が使っていたもの、あるいはミステリーに出てくるものといったイメージを持っている方もいらっしゃるのではないでしょうか。
シャーロック・ホームズの「踊る人形」、へんてこな文章が書かれた地図の謎を解き、未知なる秘宝を探すといったロマン溢れるものだったりと。

しかし現代においての暗号は、私たちの身近なものへとなっています。
暗号がどこで使われているのかといいますと、それはインターネットです。インターネットは世界中のありとあらゆる人々を繋げています。その為、インターネット経由でのやり取りは、いつ誰に盗み見されてしまうかもわかりません。

そこで役立つのが暗号です。多くの優良なサイトでは、インターネットショッピングなど、個人情報やクレジットカード情報の入力を必要とするときは、送信する情報が暗号化されるようになっています。
かつての暗号と違い、自分で暗号化したり解読したりすることがないのであまり意識することはありませんが、現代の方が暗号の使用頻度は格段に増えているのです。

パスワードの「最悪ランキング」は10年経っても変わらない

セキュリティ各社が毎年発表している「最悪なパスワードランキング」を見ると、驚くべき事実が浮かび上がります。2025年の調査でも、日本で最も使われていたパスワードは以下の通りでした。

順位パスワード
1位admin
2位123456
3位password
4位Freemima123
5位12345678

世界的に見ても「123456」は過去6回の調査で5回も1位を獲得しており、不名誉な常連となっています。これらのパスワードは攻撃者が試す最初の数手で破られてしまうため、実質的に「鍵をかけていない」のと同じ状態です。

サイバー犯罪の手口は年々巧妙化している

近年、特に脅威となっているのが「パスワードリスト型攻撃」です。
これは、どこかのサービスから流出したIDとパスワードのリストを使い、他のサービスでも同じ組み合わせでログインを試みる攻撃手法です。
「Aというサイトで使っていたパスワードを、Bというサイトでも使い回している」と、片方が漏れただけで両方乗っ取られるわけです。だからこそ、サービスごとに異なる推測されにくいパスワードを設定する必要があります。


実際の被害事例を見てみましょう。

  • 大手アパレルブランド(2019年)
    リスト型攻撃により顧客情報46万件超が流出の可能性
  • 大手通信キャリアのオンラインストア
    流出したIDとパスワードを使った不正アクセスで、約1,000台のスマートフォンが不正購入される被害
  • 大手小売チェーン
    個人情報流出の可能性として氏名、住所、メールアドレスが影響

パスワードを自分で暗号化してみよう!(4選)

以前、「最悪なパスワードランキング2015」を紹介しましたが、現在は日常生活においてパスワードを設定しなくてはならないことが多々あります。
簡単で推測されやすいパスワードにしてしまう人が多いのが現状ですが、いくつもパスワードを設定して覚えておくというのは確かに難しいことです。

そこでご提案するのが、パスワードを自分の決めたルールで暗号化するという方法です。
誕生日や好きなことをそのままパスワードにしてしまうと、推測されやすくなります。ですので、誕生日でも好きなことでも良いのですが、それを自分で暗号化してみるのです。これなら簡単には推測されず、自分でも忘れにくくなるのではないでしょうか。

ここでかつての暗号が参考になります。
もともと暗号とは、誰かに見られてしまうことを前提に作られます。暗号化されたもの自体は見られてしまうので、そこから解読されてしまう余地があります。しかし、パスワードは通常見られるということはありません。自分がどのような方法で暗号化したかも、パターンが推測されることがないのです。
いくつか暗号を紹介しますので、参考にしてみてください。

意味のあるアルファベット、数字

暗号化(自分で決めた一定のルール)

意味を持たないパスワードに変身

①アトバシュ暗号

旧約聖書の中で使われた暗号。
アルファベットが逆並びになった文字に置き換えます。下記を例にすると、上が本来の文字、下が置き換えた文字となります。

* OHARA を置き換えると LSZIZ となります。

アトバシュ暗号
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Z Y X W V U T S R Q P O N M L K J I H G F E D C B A

②シーザー暗号

古代ローマの軍事的指導者ガイウス・ユリウス・カエサル(英語読みでシーザー)が使用したとされる暗号。
アルファベットの並びをいくつかズラしたものに置き換えます。下では3つ後ろにズラしてあります。

* OHARA を置き換えると LEXOX となります。

シーザー暗号
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
X Y Z A B C D E F G H I J K L M N O P Q R S T U V W

③ポリュビオス暗号

古代ギリシアの歴史家ポリュビオスによって発明されたもの。
5×5のマスにアルファベットを並べ、縦軸横軸の数字に置き換える。アルファベットは26字と半端なので、IとJはが同じマスに入れられています。
* OHARAを置き換えると34 23 11 42 11となります。

ポリュビオス暗号
12345
1ABCDE
2FGHI,JK
3LMNOP
4QRSTU
5 VWXYZ

④アナグラム

上記の3つは、ある文字を他の文字や記号に置き換える「換字暗号」です。
その他にも、ある文字の順番を入れ替える「転置暗号」があります。

* 例:OHARA → AROHA

アナグラム

古代エジプトから始まる、暗号の歴史

暗号の歴史は非常に深く、最古の暗号は古代エジプトの象形文字であるヒエログリフで標準とは違う形体で用いられたものが見つかっています。
初期の頃の暗号は、本来の文の文字を一定の法則により他の文字や記号に置き換える「換字暗号(かえじあんごう)」という種類に分類されるものが主流でした。

中には、古代ギリシャの都市国家スパルタで使われていたスキュタレ―暗号(木の棒に文字の書かれた革紐を巻く暗号・・・革紐には無関係な文字も書かれており、文字が書かれたときと同じ太さの棒に巻いたときだけ元の意味が読み取れる)のように簡単な道具を利用したものもありました。

9世紀頃になると、換字暗号は頻度分析という手法により看破されるようになっていきました。文字には母音のように他の文字よりも使用頻度が多い文字があります。こうした文字の使用頻度を分析すると、元の文を他の文字や記号に変えただけの換字暗号では、比較的容易に解読されるようになってしまったのです。

その後も暗号化と解読の攻防は続きました。無線通信が発明されると、誰もが通信を傍受できる為、暗号の必要性は格段に上がりました。第二次世界大戦時にはナチスドイツにより機械を使用した暗号装置「エニグマ」が発明されます。機械を使用することにより、文字の複雑な置き換えが可能となりましたがこれも解読されるようになっていきます。

コンピューターが誕生すると、暗号化技術は飛躍的に向上しました。コンピューターの計算処理の早さは人間のそれを遥かに凌ぐため、コンピューターを用いて暗号化されたものは、自力で解読することはほぼ不可能になりました。そしてインターネットが普及した現在、私たちの身近なところで、複雑な暗号化がコンピューターにより自動的に行われているのです。
過去の暗号をそのまま使うのも良いですが、自分で考えてつくることで、より推測されにくく忘れにくいパスワードができることが期待できます。オリジナルの暗号パスワードをつくってみてはいかがでしょうか。

2026年版・最新のパスワードルール

近年、パスワードに関する「常識」は大きく変わっています。
アメリカの国立標準技術研究所(NIST)が発表した最新ガイドライン(SP 800-63B)では、以下のような新しい考え方が示されました。

特に注目すべきは「パスフレーズ」という考え方です。例えば【my son loves soccer very much】(息子はサッカーが大好きです)のように、長くて自分が覚えやすい文章をそのままパスワードにする方法が推奨されています。

項目古い常識新しい常識(NIST 2024年改訂)
長さ8文字以上最低8文字、推奨15文字以上
複雑さ大文字・記号・数字を必ず混ぜる強制しない(覚えやすさ優先)
定期変更90日ごとに変更強制変更は不要(漏洩時のみ変更)
パスフレーズ推奨されていなかった長い文章のパスフレーズを推奨
ヒント質問よく使われた使用しない

パスワードに頼らない「パスキー(Passkey)」時代へ

最後にお伝えしたいのが、パスワードそのものが要らなくなる未来がすでに始まっているという事実です。

「パスキー(Passkey)」とは、生体認証(指紋・顔)やデバイスのPINでログインできる、パスワードに代わる新しい認証方式です。
FIDOアライアンスの2025年調査によると、消費者の74%がパスキーを認識して、69%が実際に有効化しているという結果が出ています。
国内でも導入が進んでおり、ある大手通信キャリアではパスキーによるアカウント認証の利用率が2024年に50%まで増加。これにより、2年以上にわたって観測されていた不正購入被害が大きく減少したと報告されています。

パスキーは「秘密鍵がデバイス内に保管され、サーバーには公開鍵しか送られない」という仕組みのため、そもそも盗まれるパスワード自体が存在しないのが最大の強みです。

今日からできるアクションプラン

優先度やること
⭐⭐⭐重要アカウント(Google・Apple・銀行・SNS)で2段階認証を有効化
⭐⭐⭐パスワード使い回しをやめる(古典暗号ルールで個別化)
⭐⭐対応サービスでパスキーに切り替える
⭐⭐パスワードマネージャー(1Password、Bitwardenなど)を導入
自分のメールが流出していないか「Have I Been Pwned」でチェック

まとめ「自分だけの暗号」で大切な情報を守ろう

数千年前から、人類は大切な情報を守るために「暗号」を使い続けてきました。
古代エジプトのヒエログリフから、シーザー暗号、エニグマ、そして現代のインターネット暗号通信へ ――。その技術はいま、私たち一人ひとりの毎日のログインを支えるところまで来ています。

「123456」や「password」のような誰でも思いつくパスワードを使い続けることは、せっかくの暗号文化の恩恵を自ら捨てているようなものです。

ぜひ今日から、

  1. 自分だけの暗号化ルールを一つ決める
  2. 長いパスフレーズで覚えやすく強くする
  3. 2段階認証やパスキーを併用する

この3ステップで、あなたの大切な情報を守る防御力は飛躍的に向上します。
歴史上の暗号家たちの知恵を借りて、ぜひ「自分だけの暗号パスワード」を作ってみてください。