「パスワード管理ツール」の安全性を揺るがす6つのリスク、ESETが指摘:“全パスワードを一括管理”の落とし穴
1人のユーザーが利用するパスワードが多岐にわたる中、パスワード管理ツールの利用が推奨されることがある。だがESETは、パスワード管理ツール自体が侵害されることがあるとして警鐘を鳴らした。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
使用するアプリケーションやオンラインサービスの多様化に伴い、ユーザー1人が利用するパスワードの数は増加している。一方で、それらを一元的に保管する「パスワード管理ツール」(パスワードマネジャー)が、サイバー攻撃者の新たな標的になっている実態も浮き彫りになっている。
パスワードの使い回しや、推測されやすい文字列の使用は、依然としてセキュリティ上のリスクだ。長く複雑なパスワードを個別に設定し、それらを管理するためにパスワード管理ツールが使われることがある。
安全なパスワード運用を支援する手段としてパスワード管理ツールが推奨されることがある一方、セキュリティベンダーESETは、パスワード管理ツール自体がサイバー犯罪者にとって魅力的な攻撃対象になっていると指摘している。
“全パスワードを一括管理”の落とし穴
攻撃者がパスワード管理ツールに不正にアクセスできれば、アカウント乗っ取りや個人情報の窃取につながる恐れがある。パスワード管理ツールに潜む代表的な6つのリスクは次の通り。
1.マスターパスワードの流出
パスワード管理ツールのパスワード(マスターパスワード)が流出すれば、保存している全てのIDとパスワードが一気に攻撃者の手に渡る恐れがある。マスターパスワードを狙う代表的な手口には、パスワードを無差別に試す「ブルートフォース攻撃」や、ソフトウェアの脆弱(ぜいじゃく)性を突く攻撃、さらには偽のログイン画面に誘導して入力させる「フィッシング」などがある。
2.検索広告を悪用したフィッシング
Googleなどの検索エンジンの広告枠を悪用し、「1Password」や「Bitwarden」といったパスワード管理ツールの公式サイトを装った偽ページにユーザーを誘導する手口も確認されている。ユーザーが広告であることに気付かず、公式サイトと信じてマスターパスワードを入力してしまう危険がある。
3.パスワード窃取型マルウェア
北朝鮮が関与するとされる攻撃キャンペーン「DeceptiveDevelopment」では、フリーランスの開発者を標的にした偽の採用プロセスが用いられた。送られてきた「技術課題」などのファイルを被害者が実行すると、「InvisibleFerret」というマルウェアが端末にインストールされる。このマルウェアは、ブラウザ拡張機能とパスワード管理ツールの双方から情報を抜き出して外部に送信する設計になっており、前述の1Passwordの他、「Dashlane」などが標的になった。
4.パスワード管理ツールベンダーの侵害
パスワード管理ツールの開発元が攻撃されるケースもある。2022年には「LastPass」の開発元がサイバー攻撃を受け、ソースコードや技術文書が流出するインシデントが発生した。攻撃者は、同社のエンジニアが使用するPCを踏み台にして開発環境に侵入し、顧客データにアクセスした。データは暗号化されていたものの、ユーザーのマスターパスワードが脆弱だった場合、時間をかけて解読されるリスクがあった。
5.偽のパスワード管理ツールアプリ
パスワード管理ツールをスマートフォンで利用する企業や個人が増える中、「公式アプリストアに偽アプリが紛れ込む」ケースも確認されている。Appleの「App Store」では、一時的に「LastPass」を名乗る偽アプリが出回っていたことが報告された。偽アプリがインストールされた端末からは、入力されたパスワードや個人情報がそのまま攻撃者に送信されるリスクがある。
6.ソフトウェアや拡張機能の脆弱性悪用
パスワード管理ツール自体や、Webブラウザと連携する拡張機能にセキュリティホールが見つかり、保管されていた認証情報が盗まれる可能性がある。特に注意したいのは、同じツールをPCとスマートフォン、業務端末と自宅PCなど、複数にインストールしている場合だ。1カ所の脆弱性が突破されれば、そこを足掛かりに他のデバイスやアカウントに連鎖的に侵入される恐れがある。
安全に使い続けるための6つの実践ポイント
ESETは、パスワード管理ツールは適切に設定・運用すれば安全性を大きく高められると強調している。その上で、利用者が取るべき6つのポイントを次のように整理している。
- 覚えやすく、かつ長いマスターパスフレーズを設定する
- 例えば4つ程度の単語をハイフンなどでつなぐことで、推測されにくく、記憶にも残りやすくなる。
- 対応する全てのサービスで二要素認証(2FA)を有効にする
- パスワード管理ツール、Webブラウザ、OSは常に最新版にアップデートしておく
- アプリは公式ストアからのみダウンロードし、開発元やレビューを確認する
- 評判と実績のあるパスワード管理ツールを選ぶ
- 全ての端末に信頼できるセキュリティソフトウェアを導入する
ESETは、サイバー攻撃の手口が日々進化している中で、パスワード管理ツールの利用者自身が最新の脅威動向を知り、認証情報を安全に管理することが重要だと指摘している。
関連記事
「侵入前提」だけではやられる理由――真因究明、優先順位付けは大丈夫? アタックサーフェス管理が無駄になるポイント
2025年8月27日、ITmedia Security Week 2025 夏で、人気のポッドキャスト「セキュリティのアレ」を主宰する3人のリサーチャーが、再びアタックサーフェス管理を題材にパネルディスカッションを行った。
パスワード変更も意味がない、クラウドを侵害し続ける悪意ある「OAuthアプリ」の実態
Proofpointは、悪意あるOAuthアプリケーションによる永続的クラウド侵害の実態を公開した。パスワード変更やMFA適用後も攻撃者のアクセスは継続し、4日間続いた実例も確認された。
「PINはただのパスワード」じゃない? パスワードレス利用を拒む“5つの誤解”、Ciscoが指摘
Cisco Talosは、依然としてパスワード中心の認証が企業において使われる傾向にあり、その背景にはパスワードレス認証に関する“5つの神話(誤解)”があるとブログで指摘した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。