あなたのPW、狙われている――パスワードマネジャーの「6つの落とし穴」：パスワード管理を安全に進める

複数のパスワードを安全かつ効率的に管理するパスワードマネジャーだが、その利便性と裏腹に、セキュリティのリスクも指摘されている。リスクや対策を紹介する。

[TechTargetジャパン]

　パスワード管理ツールを提供するNordPassが2024年4月に公開した調査結果によると、一般的なインターネットユーザーは、平均168個ものパスワードを使用していた。1つのパスワードを複数のアカウントで使い回したり、推測されやすい単純なパスワードを使用したりするのは、セキュリティのリスクとなる。しかし、利用中のソフトウェアやWebサービス全てに異なるパスワードを割り当てると、膨大な数のパスワードを管理しなければならなくなる。

　このような課題の解決策の1つが「パスワードマネジャー」の利用だ。パスワードマネジャーは各アプリケーションのパスワードを保存し、必要に応じて新しいパスワードを生成する。しかし、パスワードマネジャーは便利なツールだが、リスクもある。本記事では、セキュリティベンダーESETが2025年11月に公開したブログ記事を基に、パスワードマネジャーの使用に潜むセキュリティリスク6つと、対策を紹介する。

パスワードマネジャーのリスク6選

併せて読みたいお薦め記事

パスワードのセキュリティを高める7つの基本

• 「パスフレーズ」「パスワードマネジャー」はどう使う？　パスワード管理の基本
• “いい加減なパスワード管理”を防ぎ、不正アクセスのリスクを抑える基本の方法

1．マスターパスワードの漏えい

　パスワードマネジャーの利点は、記憶している1つのパスワードで、認証情報を保管した保管庫にアクセスできる点にある。しかしこの仕組みでは、攻撃者がマスターパスワードを入手できてしまえば、ユーザーと同等のアクセス権を得ることができてしまう。

　マスターパスワードが漏えいする原因として、総当たり攻撃（ブルートフォース攻撃）が挙げられる。総当たり攻撃は、自動化ツールを使って、さまざまなパスワードを繰り返し試すことで、正しいパスワードを強引に突き止める手法だ。他にも、パスワードマネジャーのソフトウェアに存在する脆弱（ぜいじゃく）性を悪用する手口、ユーザーが偽のログインページに誘導されて入力してしまうフィッシングなどがある。

2．偽物の広告やWebサイトへのアクセス

　攻撃者が、Webサイトにダミーの広告を掲載し、被害者を偽のパスワードマネジャーのWebサイトへ誘導して、ユーザーのメールアドレスやマスターパスワードを盗み取る手口がある。遷移先のWebサイトは本物のWebサイトと見た目がそっくりで、検索結果の上位に表示される場合もある。

　例えば、「1password.com」に見せかけた「the1password[.]com」や「app1password[.]com」、「bitwarden.com」に似せた「appbitwarden[.]com」などがある。

3．パスワードを盗むマルウェア

　攻撃者の中には、パスワードマネジャーから情報を盗むことを目的としたマルウェアを開発する者もいる。セキュリティベンダーESETは2025年3月、北朝鮮の国家支援による攻撃キャンペーン「DeceptiveDevelopment」によって使われたマルウェア「InvisibleFerret」の存在を明らかにした。

　InvisibleFerretは、Webブラウザの拡張機能やパスワードマネジャーからデータを盗み出すバックドアコマンドを備えており、盗んだ情報はメッセージングアプリケーション「Telegram」や通信プロトコル「FTP」（File Transfer Protocol）経由で送信される。InvisibleFerretが対象としたパスワードマネジャーには「1Password」や「Dashlane」が含まれていた。

4．ベンダー側の情報漏えい

　パスワードマネジャーベンダーは、自社のシステムが攻撃の標的になる恐れを理解し、大規模な対策を講じている。しかし、たった1つのミスが重大な被害につながることもある。

　2022年には、LastPassが提供する同名のパスワードマネジャーの開発環境が侵害され、同社のエンジニアの端末が乗っ取られる事態が発生した。攻撃者はこれを足掛かりにソースコードや技術資料を盗み、顧客データにもアクセスした。

　流出したのは、顧客の個人情報やアカウント情報、保管庫に保存されていたWebサイトのURL、ユーザー名、パスワードなどだ。これらの情報は暗号化されていたが、攻撃者は一部をブルートフォース攻撃により解読した可能性がある。この事件は、最終的に約1億5000万米ドル相当の暗号資産の窃盗事件に発展し、どれだけ堅牢（けんろう）なシステムでも侵害され得ることを示す教訓となった。

5．偽のパスワードマネジャーのダウンロード

　攻撃者は、偽のアプリケーションを開発し、ユーザーにダウンロードさせることでパスワードの窃取やマルウェアの拡散を試みることがある。例えば、Appleの公式アプリケーションストア「App Store」のような安全とされるプラットフォームでさえ、2024年には悪意あるパスワードマネジャーアプリケーションが配信されていたことが確認されている。

6．脆弱性の悪用

　パスワードマネジャーはソフトウェアである以上、脆弱性が存在する可能性を完全に排除することはできない。犯罪者が脆弱性を突くことで、保管庫の認証情報を盗み出す恐れがある。

　Webブラウザの拡張機能や端末のOSに存在する脆弱性を狙うケースもあり、2要素認証（2FA）のコードまで盗まれる危険性もある。パスワードマネジャーを複数の端末にインストールしている場合、それだけ攻撃の入り口が増えることにもなる。

パスワードマネジャーを安全に使うには？

　上記の脅威からシステムを守るための対策を以下に紹介する。

対策1．安全で長く、ユニークなマスターパスワードを考える

　覚えやすい4つの単語をハイフンでつなげるなどの方法が推奨される。これにより、攻撃者がブルートフォース攻撃で突破するのが難しくなる。

対策2．保有する全アカウントで2FAを実装する

　これにより、仮にパスワードが盗まれても、第二の認証要素がなければアカウントにアクセスされることがなくなる。

対策3．Webブラウザ、パスワードマネジャー、OSを常に最新の状態に保つ

　既知の脆弱性を悪用されるリスクを減らすことができる。

対策4．アプリケーションはGoogleの公式アプリケーションストア「Google Play」やApp Storeからのみダウンロードする

　アプリケーションをダウンロード前に、アプリケーションの開発元や評価を確認し、偽物や悪意のあるものをダウンロードしない。

対策5．信頼できるベンダーのパスワードマネジャーを選ぶ

　複数のベンダーやサービスを比較し、自社に合ったものを選択する。

対策6．全ての端末に信頼できるセキュリティソフトウェアをインストールする

　パスワードマネジャーから直接パスワードを盗もうとする攻撃の脅威を軽減することができる。