あなたのパスワード、今夜も誰かに試されているかもしれない。84%が使いまわし、91%がパスキーを知っている——その「知っている」と「使っている」の間にある溝こそが、今の日本の認証リスクの正体だ。
トレンドマイクロ株式会社は2026年3月24日、「パスワード・パスキーの利用実態調査2026」の結果を発表した。調査は2026年2月20日から22日にかけて、日本国内居住の18〜69歳の男女1,034名を対象にWeb形式で実施された。
調査によると、回答者の84.3%が複数のWebサービスでパスワードを使いまわしており、2023年調査の83.8%からほぼ横ばいだ。パスワードの管理方法は「記憶」が40.9%、「紙のメモやノート」が34.3%と続く。不正アクセスや情報流出の被害経験者は14.7%で、2023年比3ポイント減となった。一方、パスキーの認知率は91.1%に達し、パスキーを提供するWebサービスの利用者733人のうち87.7%がパスキーを利用していると回答した。
From: 
パスワード・パスキーの利用実態調査2026|トレンドマイクロ
【編集部解説】
今回のトレンドマイクロの調査が示しているのは、単なるセキュリティ意識の低さではありません。「人間は、不便さを前にすると合理的に手を抜く」という、きわめて普遍的な行動原理です。パスワードを使いまわす最大の理由が「忘れてしまうから(74.3%)」である事実は、これがモラルの問題ではなく、設計の問題であることを示しています。
この視点は、グローバルなデータとも一致します。2025年5月に発表されたCybernewsの調査では、2024年4月から2025年4月にかけて流出した190億件以上のパスワードを分析したところ、そのうち94%が複数アカウントで使い回されていたと報告されています。日本の84.3%という数値は、この世界水準と比べてもほぼ同等の深刻さを示しています。
パスワードの使いまわしが危険な理由は、「アカウントリスト攻撃(クレデンシャルスタッフィング)」のリスクと直結するからです。ベライゾンの2025年版データ侵害調査報告書(DBIR)によると、侵害されたアカウント情報は、全体の22%のデータ侵害で初期侵入経路として使われております。一つのサービスで流出したIDとパスワードが、まったく別のサービスへの不正侵入に使われる——これが現代のサイバー攻撃の主流となっています。
パスキーとは何かを改めて整理すると、スマートフォンの生体認証(顔・指紋)や画面ロックを使ってログインする仕組みであり、「公開鍵暗号方式」によってサーバー側にパスワードそのものを保存しません。このため、仮にサービス側でデータが流出しても、パスワードに相当する情報は存在しないため、クレデンシャルスタッフィング攻撃が原理的に成立しません。フィッシング詐欺に対しても耐性があり、セキュリティと利便性を同時に高められる技術として注目されています。
ただし、課題もあります。今回の調査でも「機種変更時の引き継ぎ(35.6%)」や「スマートフォン紛失時のログイン(35.3%)」への不安が上位に挙がっています。2025年9月にAppleがiOS 26でパスキーの他社マネージャーへのエクスポートを解禁し、Microsoftも同年5月に新規アカウントのデフォルト認証をパスキーに移行——これにより認証数が120%増加したと報告されています。こうした大手プラットフォームの動きが、利用者の不安を解消するうえでも大きな役割を果たすことになるでしょう。
規制の面でも、変化の波は確実に近づいています。欧州ではNIS2指令(ネットワーク・情報セキュリティ指令)のもと、多要素認証の実装が事実上の義務となりつつあり、金融・医療・インフラ分野を中心にパスワードのみの認証が認められなくなる流れが加速しています。日本においても、経済産業省や金融庁が多要素認証の推奨を強化しており、こうした制度的な圧力が企業側の対応を後押しする状況が続いています。
長期的な視点で見れば、今回の調査が示す最も重要なメッセージは「個人の意識改革だけでは限界がある」という点です。Dashlaneのレポートでは、ユーザーにパスワードとパスキーを選ばせるのではなく、パスキーをデフォルトにした場合に採用率が急速に上昇すると報告されています。セキュリティの責任をユーザー個人に委ねる時代は終わりつつあり、サービス提供側がいかに安全な選択を「当たり前の体験」にデザインできるか——そこに次の競争軸が移りつつあります。
【用語解説】
アカウントリスト攻撃(クレデンシャルスタッフィング)
あるサービスから流出したIDとパスワードの組み合わせを、他のサービスへのログインに自動で試みるサイバー攻撃。パスワードを使いまわしているユーザーが標的になりやすく、1件の流出が連鎖的な被害をもたらす。
公開鍵暗号方式
「公開鍵」と「秘密鍵」の2つの鍵を組み合わせて通信を暗号化・認証する技術。パスキーはこの方式を採用しており、サービス側のサーバーには秘密鍵に相当する情報を保存しないため、仮にサーバーが攻撃されてもパスワードに相当するデータが流出しない。
多要素認証(MFA)
ログイン時に「知識(パスワード)」「所持(スマートフォン)」「生体(指紋・顔)」のうち2つ以上を組み合わせて本人確認を行う仕組み。パスキーは生体認証と端末の所持を同時に要求するため、MFAを1ステップで実現している。
フィッシング攻撃
実在の企業やサービスを装った偽サイトや偽メールでパスワードなどの認証情報を騙し取る攻撃手法。パスキーは正規サイトと端末の間でのみ機能する仕組みのため、偽サイトでは認証が成立せず、原理的にフィッシング攻撃が無効化される。
NIS2指令
EUが2023年に施行した「ネットワーク・情報セキュリティ指令」の改定版。エネルギー・医療・金融・デジタルインフラなど重要分野の事業者に対し、多要素認証の導入を含む一定水準のサイバーセキュリティ対策を義務付けている。日本の法整備にも間接的な影響を与えつつある。
【参考リンク】
トレンドマイクロ株式会社 公式サイト(外部)
東京都新宿区に本社を置くグローバルなサイバーセキュリティ企業。パスワードの利用実態やサイバー脅威に関する調査を毎年発表している。
FIDOアライアンス|パスキー(日本語)(外部)
パスキーの国際標準規格を策定・推進する非営利団体。主要プラットフォーマーが参加しパスワードレス認証の普及を主導している。
パスキーとは?Apple、Google、マイクロソフトが採用する新たな認証の仕組みを解説|Security GO(外部)
トレンドマイクロ運営の「Security GO」内記事。パスキーの仕組みと従来のパスワード認証との違いを日本語で解説している。
Additional 2025 DBIR research on credential stuffing|Verizon(外部)
米ベライゾンによる2025年版データ侵害調査(DBIR)の補足レポート。クレデンシャルスタッフィングの詳細な統計データを公開している。
【参考記事】
Password Leak Study Unveils Alarming 2025 Trends: 94% of Passwords Reused|CinchOps(外部)
190億件超の流出パスワードを分析したCybernews調査の紹介記事。94%が複数サービスで使い回されていたと報告している。
Passwordless adoption moves from hype to habit|Help Net Security(外部)
Dashlaneレポートを基にパスキーの普及を分析。Microsoftのデフォルト化で認証数120%増などを報告している。
FIDO Alliance Champions Widespread Passkey Adoption on World Passkey Day 2025|FIDO Alliance(外部)
FIDOアライアンスが2025年5月に発表した国際調査レポート。グローバルのパスキー認知率が75%に達したことなどを示している。
State of passkeys 2025: passkeys move to mainstream|Biometric Update(外部)
FIDOアライアンスのデータとして10億人以上がパスキーを有効化済みと報告。パスキーが標準技術に移行した現状を解説している。
【関連記事】
Microsoft、パスキーでパスワードの時代を終わらせる
Microsoftが全消費者アカウントにパスキーを展開。パスワードレスへの移行という文脈で今回の調査結果と深くつながる記事。
NISTが改定したパスワード新基準|複雑性より長さ、定期変更より侵害時対応へ
米国標準技術研究所NISTによる新パスワードガイドライン。パスキー推奨の流れと今回の調査結果を重ね合わせて読むと理解が深まる。
「詐欺バスター Lite」無料公開|警察庁推奨アプリが変える、詐欺対策の新常識
同じトレンドマイクロが2026年3月に発表した詐欺電話対策アプリの記事。同社のセキュリティへの取り組みを知る関連記事。
SIMスワップ詐欺10倍増の衝撃、英国政府がパスキー全面導入で認証革命へ
英国政府がGOV.UKサービス全体でパスキー移行を発表。国家レベルの認証革命という視点で今回の調査を補完する記事。
【編集部後記】
あなたは今、いくつのWebサービスを使っていますか? そしてパスワードを使いまわしていることに、ふと気づいたことはありますか。私たち自身も、この調査結果を見て思わず自分のパスワード管理を見直したくなりました。
パスキーへの移行は、まだ道半ばです。あなたはすでに使い始めていますか? ぜひ、体験や感想を聞かせてください。
