パスワード管理ツールの「ゼロ知識」は本当にゼロなのか
研究者がBitwarden、Dashlane、LastPassの暗号化の脆弱性を発見。信頼してきたパスワード管理ツールの安全性に疑問符が付く
数十億のパスワードを預かるパスワード管理ツール各社が「私たちでさえあなたのデータにアクセスできません」と謳う「ゼロ知識」システム。しかし、本当にゼロなのでしょうか。
ETH ZurichとUSI Luganoの研究者たちが発表した最新研究は、この前提を根底から揺るがしています。Bitwarden、Dashlane、LastPassという主要なパスワード管理ツールを分析した結果、研究者たちはユーザーの認証情報にアクセスできただけでなく、場合によってはパスワード保管庫全体を読み書きすることまで可能だったのです。
「ゼロ知識」の約束が破られるとき
パスワード管理ツールが普及した背景には、現代のデジタル生活の現実があります。平均的なユーザーは100以上のオンラインアカウントを持ち、それぞれに異なる強力なパスワードを設定することは事実上不可能です。
そこで登場したのが「ゼロ知識」を謳うクラウドベースのパスワード管理ツールでした。これらのサービスは、暗号化によってサービス提供者自身でさえユーザーのパスワードを見ることができないと約束していました。しかし、今回の研究はその約束に穴があることを明らかにしました。
脆弱性は主に、パスワードのバックアップや復旧を可能にする「キーエスクローシステム」などの特定機能が有効になっている場合に発生しました。研究者たちは、これらの欠陥の多くが比較的単純で、パスワード管理ツールの「ゼロ知識」主張に対する精査の不足を示していると指摘しています。
日本のユーザーが直面するジレンマ
日本では、NTTドコモや三菱UFJ銀行などの大手企業がサイバー攻撃を受ける事例が相次いでおり、個人レベルでのセキュリティ対策の重要性が高まっています。多くの日本人ユーザーがパスワード管理ツールを信頼して使用している中で、この研究結果は深刻な問題を提起します。
一方で、パスワード管理ツールを使わない選択肢も現実的ではありません。手動でのパスワード管理は人的ミスを招きやすく、同じパスワードの使い回しというより大きなリスクを生み出します。
研究者たちも、パスワード管理ツール自体を否定しているわけではありません。問題は、「完全に安全」という誤った安心感と、暗号化実装の不備にあります。
セキュリティ業界の内部問題
今回のニュースはパスワード管理ツールの問題だけではありません。サイバーセキュリティ業界全体が信頼性の問題に直面していることを示しています。
Defconハッカー会議がJeffrey Epsteinとの関係を理由に3名を出入り禁止にした件や、FBIの情報提供者がダークウェブ市場の運営に関与していた事実は、セキュリティ専門家コミュニティ内部の倫理的課題を浮き彫りにしています。
さらに、米国国土安全保障省が顔認証と指紋技術を統合した中央検索可能データベースの構築を進めていることは、プライバシー保護とセキュリティ強化の間の緊張関係を示しています。
関連記事
米国防総省が確認:敵対勢力が商業的位置情報データを使い、戦場の米軍兵士を追跡・監視。広告テクノロジー産業が「国家安全保障上の脅威」として問われ始めた。
ブラウザのサイドチャネル攻撃「FROST」が、SSDのタイミング計測により閲覧履歴やアプリ情報を盗み見る。一般ユーザーから企業まで影響する新手法を解説。
Googleのセキュリティエンジニアが内部データを使い予測市場Polymarketで不正取引を行ったとして逮捕。仮想通貨の透明性が皮肉にも犯罪者の足跡を暴いた事件の全貌と、日本社会への示唆を読み解く。
英国ビザ申請の非公式サイト「UK Visa Portal」が、少なくとも10万件のパスポートや自撮り写真を公開状態で放置。セキュリティ問題が未解決のまま続いており、個人情報保護の観点から深刻な懸念を呼んでいます。
意見
この記事についてあなたの考えを共有してください
ログインして会話に参加