パスワード管理ツールの「ゼロ知識」は本当にゼロなのか

数十億のパスワードを預かるパスワード管理ツール各社が「私たちでさえあなたのデータにアクセスできません」と謳う「ゼロ知識」システム。しかし、本当にゼロなのでしょうか。

ETH ZurichとUSI Luganoの研究者たちが発表した最新研究は、この前提を根底から揺るがしています。Bitwarden、Dashlane、LastPassという主要なパスワード管理ツールを分析した結果、研究者たちはユーザーの認証情報にアクセスできただけでなく、場合によってはパスワード保管庫全体を読み書きすることまで可能だったのです。

「ゼロ知識」の約束が破られるとき

パスワード管理ツールが普及した背景には、現代のデジタル生活の現実があります。平均的なユーザーは100以上のオンラインアカウントを持ち、それぞれに異なる強力なパスワードを設定することは事実上不可能です。

そこで登場したのが「ゼロ知識」を謳うクラウドベースのパスワード管理ツールでした。これらのサービスは、暗号化によってサービス提供者自身でさえユーザーのパスワードを見ることができないと約束していました。しかし、今回の研究はその約束に穴があることを明らかにしました。

脆弱性は主に、パスワードのバックアップや復旧を可能にする「キーエスクローシステム」などの特定機能が有効になっている場合に発生しました。研究者たちは、これらの欠陥の多くが比較的単純で、パスワード管理ツールの「ゼロ知識」主張に対する精査の不足を示していると指摘しています。

日本のユーザーが直面するジレンマ

日本では、NTTドコモや三菱UFJ銀行などの大手企業がサイバー攻撃を受ける事例が相次いでおり、個人レベルでのセキュリティ対策の重要性が高まっています。多くの日本人ユーザーがパスワード管理ツールを信頼して使用している中で、この研究結果は深刻な問題を提起します。

一方で、パスワード管理ツールを使わない選択肢も現実的ではありません。手動でのパスワード管理は人的ミスを招きやすく、同じパスワードの使い回しというより大きなリスクを生み出します。

研究者たちも、パスワード管理ツール自体を否定しているわけではありません。問題は、「完全に安全」という誤った安心感と、暗号化実装の不備にあります。

セキュリティ業界の内部問題

今回のニュースはパスワード管理ツールの問題だけではありません。サイバーセキュリティ業界全体が信頼性の問題に直面していることを示しています。

Defconハッカー会議がJeffrey Epsteinとの関係を理由に3名を出入り禁止にした件や、FBIの情報提供者がダークウェブ市場の運営に関与していた事実は、セキュリティ専門家コミュニティ内部の倫理的課題を浮き彫りにしています。

さらに、米国国土安全保障省が顔認証と指紋技術を統合した中央検索可能データベースの構築を進めていることは、プライバシー保護とセキュリティ強化の間の緊張関係を示しています。