はじめに:暗証番号が抱える“過小評価”問題
カード、スマートロック、スマホのSIM—私たちは日常のあらゆる場面で4桁の暗証番号(PIN)を入力しています。しかし「4桁=安全」という思い込みは危険です。
本記事では “通り数(可能性の数)” という観点から、4桁PINの真の脆弱性と対策を掘り下げます。
4桁の暗証番号は何通り?基本の計算方法
4桁のパスワードとしての組み合わせとは
一般的なPINは 0〜9 の10個の数字ボタンから 順番を区別して 4回押して設定されます。各桁が独立しているため、単純な総通り数は次式で求められます。
10 × 10 × 10 × 10 = 10 000 通りポイント:先頭が 0 でも有効(例:0007)なので桁落ちが起こりません。結果として「10⁴=10 000」の計算は常に成立します。
“10 000通り” が過小な理由
- 総当たり時間が短い:1ms/試行なら約10秒で全探索可能です。これは一般的な家庭用PCでも実現可能な速度であり、悪意のある攻撃者にとっては非常に短い時間で突破可能ということになります。
- 人間のパターン選好:実際には10 000通りのうち、覚えやすい連番やゾロ目、誕生日に関連した番号などに集中しています。このため、理論上の通り数よりも実質的な選択肢は大幅に減少します。
- 複数入力チャンス:多くのシステムでは入力ミスに対するロックアウトが緩く、3〜5回程度のミスではロックされない場合も少なくありません。このため、総当たり試行のチャンスは思いのほか多く存在します。
【補足】意外と知らない入力時のリスク
さらに、PIN入力時に周囲の目線による「ショルダーハッキング(肩越し覗き見)」や、テンキーの摩耗による物理的な痕跡が手がかりとなることもあります。ATMやスマホでは入力時の指の動きにも注意しましょう。
押しボタン式の鍵に注意!計算上の落とし穴
押しボタン式の鍵(例:10個の数字ボタンから任意の4つを押すタイプ)は、一見すると「4桁の暗証番号」として10 000通り(10×10×10×10)の組み合わせがあるように思えます。しかし実際には「押された数字の集合」のみを認識し、押す順番を区別しない ため、組み合わせ数はわずか 210通り しかありません。
10C4 = 10! ÷ (4! × (10−4)!) = 210 通りこの大きなギャップにより、押しボタン式の鍵は見た目以上に脆弱です。たとえば、専門的な知識を持たない人物でも、わずか数分で全ての組み合わせを試せる可能性があります。
セキュリティ比較とリスク
| 鍵の種類 | 順序認識 | 通り数 | 総当たりに必要な試行時間* |
|---|---|---|---|
| 押しボタン式(4/10選択) | しない | 210 | 0.21 秒 |
| 3桁ダイヤル錠 | する | 1 000 | 1 秒 |
| 4桁PIN(順序あり) | する | 10 000 | 10 秒 |
| 6桁PIN(順序あり) | する | 1 000 000 | 17 分 |
*1ms/試行・ロックアウトなしの場合
さらに深掘り:上記は理論上の計算時間ですが、実際には人間の操作速度や装置の反応速度が影響します。それでも機械的な装置を使えば、これらの時間はほぼ理論値に近づけることが可能です。
対策のヒント
- 順序認識型・6桁以上のモデルを選択:より多くの通り数が必要な場合は、最低でも6桁以上のPIN設定が推奨されます。
- オートロック(入力失敗×n回でブロック)機能付き:総当たり攻撃への対策として非常に効果的です。
- IC/NFC連動など多要素認証を併用:PIN単独ではなく、生体認証やスマートフォン連携など、複数の認証要素を組み合わせることで、セキュリティを格段に向上させることができます。
【追加対策】物理的な管理も忘れずに
押しボタン式の鍵は物理的に設置されていることが多いため、その設置場所や物理的な耐久性、取り付け状況もセキュリティに大きな影響を与えます。壊されにくい場所への設置や、防犯カメラの設置も併せて検討しましょう。
0から9の数字を使った全通りの一覧
ブロック構造で整理する
10 000個すべてを書き出す代わりに、先頭2桁ごとの“ブロック構造”で整理すると理解しやすくなります。これにより、視覚的に番号範囲を直感的に把握でき、必要な情報に素早くアクセス可能となります。
| ブロック | 通り数 | 具体例 | 備考 |
|---|---|---|---|
| 00xx | 100 | 0000〜0099 | 先頭ゼロから始まる番号 |
| 01xx | 100 | 0100〜0199 | |
| 02xx〜98xx | … | … | 各ブロック100通り存在 |
| 99xx | 100 | 9900〜9999 | 最大ブロック |
| 合計 | 10 000 | — | — |
コラム:ブロック方式の応用 企業がデフォルトPINを設定する際、部門コード×従業員番号のようにブロック分けを行うケースがあります。これは管理しやすい反面、規則性がバレると一網打尽になるリスク も伴います。デフォルト設定は必ず初期変更しましょう。また、類似の問題はWi-Fiの初期パスワードや一部の認証システムにも見られ、近年ではこの弱点を狙った攻撃が増加しています。
暗証番号の通り数を素早く計算するには?
計算を行う際は、組み合わせや順列の基本公式を活用すると便利です。状況に応じて以下の式を使い分けましょう。
- n桁PIN →
10ⁿ(例:4桁PINは 10⁴ = 10,000 通り) - k個からr個を順不同で選ぶ →
nCr(組み合わせ) - 英数字混在6桁 →
36⁶ ≒ 2.18兆(英26+数10の計算)
便利ツール
手計算が苦手でも、オンラインの組み合わせ電卓やExcelのCOMBIN/PERMUT関数を活用すれば簡単に確認できます。さらに、Google スプレッドシートでも同様の関数が利用可能であり、出先でもスマートフォンで計算が行えます。
どのような数字の組み合わせが考えられるか
日常的に人が選びがちな組み合わせは次のようなパターンに集中しています。この傾向を理解することで、自身のPINが予測されやすいかどうかを見直すきっかけになります。
- 連番:1234、8901(連続した数字の組み合わせ)
- ゾロ目:1111、7777(すべて同じ数字)
- 日付風:0410(4月10日などの記念日)
- キーパターン:2580(テンキー縦一直線の並び)
- リバーシブル:1221、3443(前後反転しても同じ)
- クロスパターン:1595(テンキーの“×”字の形)
- 四隅利用型:1379(テンキー四隅の数字)
避けるポイント
パターン性があると「観察・推測」攻撃に弱くなります。ATMや宅配ボックスでは“指の動き”を盗み見られるケースにも注意が必要です。特に公共の場では、周囲の環境にも配慮しましょう。また、テンキーの摩耗や汚れがPINのヒントになることもあるため、物理的な対策も重要です。
4つの数字を使った暗証番号の計算 — 応用編
入力速度と試行の現実
ATMやキャッシュカード、スマートロックなどでは、通常 3〜5回失敗で強制ロック がかかる仕組みが採用されています。そのため、理論的に存在する 10 000通りすべてを試すことは物理的に不可能 です。こうした制限がある一方で、攻撃者は総当たりではなく、より効率的な手段を取るのが現実です。
オンライン攻撃より“フィッシング”や“ソーシャルハック”の方が現実的
- フィッシング:偽のログインページに誘導してPINを入力させる
- ソーシャルハック:家族や友人からうまく情報を聞き出す、または無意識のうちに漏らす情報を拾う
このように、PINの取得は必ずしもテクニカルな手段だけではなく、心理的・環境的な弱点を突く手法が主流となりつつあります。
「一見安全」に潜む盲点
いくら複雑な暗証番号を設定しても、以下のような運用上のミスがあると、その効果は激減します。
- デフォルトPINの変更忘れ:製品購入時に設定されているデフォルトのPINをそのまま使用するのは極めて危険です。多くの製品ではデフォルトPINが公開情報として広まっており、容易に突破されるリスクがあります。
- 家族で番号を使い回す:利便性を優先して家族間で同じ暗証番号を共有してしまうと、誰かが流出させた場合に被害が一気に広がります。特に子どもや高齢者は注意が必要です。
- 共有デバイスにメモが残る:スマートロックの設定画面やスマートフォンのメモアプリにPINを記録しているケースも少なくありません。デバイスを紛失した場合、大きなリスクとなるため、重要な情報はパスワード管理ツールなどの安全な場所に保管しましょう。
アドバイス
こうした盲点をなくすためには、定期的な運用ルールの見直しと、セキュリティ意識の向上が不可欠です。PINの変更を「年に1回のルーチン作業」としてスケジュール化することをおすすめします。
4桁の暗証番号ランキング(上位15位)
| ランク | PIN | 使用率(%) | 覚え方の例 |
| 1 | 1234 | 10.7 | 連番 |
| 2 | 0000 | 6.0 | ゾロ目 |
| 3 | 1111 | 5.6 | ゾロ目 |
| 4 | 1212 | 1.6 | 交互 |
| 5 | 7777 | 1.2 | ゾロ目 |
| 6 | 1004 | 1.1 | 「10月04日」など |
| 7 | 2000 | 0.7 | 年号 |
| 8 | 4444 | 0.7 | ゾロ目 |
| 9 | 2222 | 0.7 | ゾロ目 |
| 10 | 6969 | 0.5 | パターン |
| 11 | 9999 | 0.5 | ゾロ目 |
| 12 | 3333 | 0.4 | ゾロ目 |
| 13 | 5555 | 0.4 | ゾロ目 |
| 14 | 1122 | 0.3 | 連番+重複 |
| 15 | 1313 | 0.3 | 不吉回避で人気 |
Insight — 上位15位だけで全体の約 31% を占有。攻撃者はこの“甘い蜜”から順に試行します。
安全な暗証番号を選ぶための 6 つの鉄則
- 乱数生成で意味のない数字列を作る
- 自分で考えた番号は無意識にパターンが入りがちです。乱数生成ツールを使えば、完全にランダムな番号を作成できます。
- 例:オンラインのランダムPINジェネレーターやスマートフォンアプリを活用する。
- 桁数を増やす(6桁・8桁が望ましい)
- 桁数が多いほど組み合わせは指数的に増加し、総当たり攻撃に対する耐性が高まります。
- 例:4桁→10,000通り、6桁→1,000,000通り、8桁→100,000,000通り
- サービスごとに固有番号—使い回さない
- 異なるサービスで同じ暗証番号を使うと、一箇所の情報漏洩で全てのアカウントが危険にさらされます。
- パスワードマネージャーを活用して、それぞれのサービスで異なる番号を管理しましょう。
- 定期ローテーション(最低でも年1回)
- セキュリティは設定時だけでなく、定期的な見直しが重要です。年1回はPINの変更をルール化し、古い番号は破棄しましょう。
- 例:新年や誕生日など覚えやすいタイミングで変更を実施。
- 多要素認証(生体・トークン)を併用
- 暗証番号単独ではなく、指紋・顔認証・物理トークン(FIDOキーなど)との併用でセキュリティレベルを大幅に向上させます。
- 重要なアカウントや金融サービスでは必須の対策です。
- 入力時に目隠し—肩越し視線を防止
- 公共の場でのPIN入力は特に注意が必要です。カバンや手でテンキーを隠すなど物理的な工夫を行いましょう。
- ATMでは、画面表示の反射でPINが見えないかも確認しましょう。
コラム:生体認証は万能か?
指紋や顔認証は便利ですが、生体情報は一度流出すると “取り替え不可” という致命的な弱点があります。パスワードやPINは変更できますが、指紋や顔は一生変わりません。
そのため、生体認証はあくまで 「第一の鍵」ではなく「第二の鍵(二層目)」 として運用するのが現実的です。暗証番号と生体認証を組み合わせることで、どちらか一方の突破では完全なアクセスは得られない状況を作りましょう。
ポイントまとめ
- 生体情報は漏れたら元に戻せない。
- 多要素認証は「認知情報(PIN)」+「生体情報」で構成するのが理想。
- セキュリティ対策は“過信しない”ことが最大の防御策です。
質問形式で解説!暗証番号に関するFAQ
Q1. 4桁PINを8桁PINに変えるだけで本当に安全?
A. 総通り数は 10⁸ = 100,000,000 通り。4桁に比べて 10,000倍 の候補があるため、総当たり難度は格段に上がります。ただし、フィッシング詐欺 など“人の穴”は依然として存在します。したがって、PINの桁数を増やすだけでなく、多要素認証やパスワードマネージャーの利用など、複合的な対策を講じることが重要です。
Q2. 子どもや高齢者にも覚えやすい安全PINの作り方は?
- 好きな数字×ランダム=“語呂合わせランダム”方式
例:好きな数字「17」を間に挟む →a7b7のように配置する。 - パスワードマネージャーに任せる
生成・保存をツールに任せ、入力は 生体認証 で簡略化しましょう。 - 視覚的記憶を活用する
手の動きやテンキーのパターンで覚える方法も有効ですが、これはセキュリティリスクにもなるため注意が必要です。
ポイント:覚えやすさと安全性のバランスを取りましょう。どうしても覚えられない場合は、物理的なメモではなく、暗号化メモアプリを利用してください。
Q3. 会社の貸与スマホで共通PINを使うのは違法?
A. 日本の個人情報保護法では直接的に“禁止”していません。しかし、JIS Q 15001(個人情報保護マネジメントシステム)等のガイドラインでは、“推測容易な共通PINの禁止” が強く推奨されています。万が一情報漏洩が発生した場合、損害賠償責任を問われる可能性もあるため、法人・組織では必ず個別のPINを設定し、管理ポリシーを整備しておくべきです。
補足:ガイドラインに違反していなくても、万が一の事故発生時には社会的信用の失墜や法的トラブルに発展するリスクがあります。
Q4. PINをメモして持ち歩くのはアリ?
A. 紙メモ自体は古典的な手法ですが、安全管理が甘いと他人に撮影・盗難 される危険性が非常に高くなります。特にスマートフォンやノートにそのまま記載するのは避けるべきです。
- 安全な管理方法
- 暗号化メモアプリ(例:1Password、LastPass、Bitwarden など)を利用。
- パスワードマネージャーに一元管理し、自動入力機能を活用する。
アドバイス:どうしても紙に書く場合は、暗号化された記号や自分だけが理解できるヒントだけを残すようにしましょう。また、紙は自宅の金庫など物理的に安全な場所で保管してください。
まとめ:PINは“長さ+多層防御”で守る時代へ
- 4桁PINの理論上の通り数:10 000通り
覚えやすい一方で、総当たり攻撃にはわずか10秒程度で突破されるリスクがあります。 - 押しボタン式はわずか 210通り
見た目の印象に反して、実際の通り数は極端に少なく、セキュリティリスクが高い設計になっています。 - 上位15PINで 31% を占有
攻撃者はまず最も使われやすい上位15個のPINから試すため、人気の番号は避けることが重要です。 - 6桁以上+多要素認証+定期変更=現代の必須対策
PINの桁数を増やすことに加え、多要素認証(2FA)や生体認証、トークン認証を併用し、定期的に番号を見直すことが、最も効果的な防御策となります。
結論
短いPINは便利ですが、“便利さ=脆弱さ” になりがちです。セキュリティを強化するためには、単に桁数を増やすだけでなく、デジタルと物理の両面で適切な対策を講じることが重要です。
“桁を増やし、多段階認証を張り、運用ポリシーを守る”——この三位一体こそが、セキュリティを日常で確実に機能させる最もシンプルかつ強力な方法です。
今すぐできるアクションプラン
- 現在のPINを6桁以上に変更する。
- 多要素認証を導入できるサービスはすべて設定する。
- 定期的なPIN変更をカレンダーでリマインド化する。
