パスワード管理アプリの「ゼロ知識」は本当か？

9400万人のアメリカ人が信頼を寄せるパスワード管理アプリ。その36%という普及率の裏で、ある根本的な疑問が浮上している。果たして「ゼロ知識」という約束は本当に守られているのだろうか？

パスワード管理アプリの急速な普及

過去15年間で、パスワード管理アプリは技術者だけが使うニッチなツールから、一般大衆にとって不可欠なセキュリティツールへと変貌を遂げた。現在、推定9400万人のアメリカ人成人が使用しており、これは全体の約36%に相当する。

これらのアプリには、年金、金融、メールアカウントのパスワードだけでなく、暗号通貨の認証情報、クレジットカード番号、その他の機密データも保存されている。つまり、現代人のデジタルライフの中核を担っているのだ。

「ゼロ知識」という大胆な約束

主要なパスワード管理アプリ8社すべてが「ゼロ知識」という用語を採用している。これは、ユーザーがサーバーに保存するデータ金庫を保護する複雑な暗号化システムを説明する際に使われる。

各ベンダーによって定義は若干異なるが、一般的に次のような大胆な保証に集約される：悪意のある内部関係者やクラウドインフラを侵害したハッカーが、金庫やそこに保存されたデータを盗む方法は存在しない。

Bitwardenは「Bitwardenのチームでさえ、あなたのデータを読むことはできません（たとえ私たちが望んでも）」と述べている。Dashlaneは、ユーザーのマスターパスワードがなければ「Dashlaneのサーバーが侵害されても、悪意のある行為者は情報を盗むことができない」と主張する。LastPassは「あなた以外の誰も（LastPassでさえも）LastPass金庫に保存されたデータにアクセスできない」と断言している。

約束への疑問符

しかし、この「大胆な保証が覆された」という指摘が浮上している。LastPassの過去の侵害事例や、国家レベルのハッカーが高価値ターゲットのパスワード金庫を入手する動機と能力を持っているという合理的な懸念を考えると、これらの約束の実効性に疑問が生じている。

約6000万人が使用するBitwarden、Dashlane、LastPassの3社を合わせると、膨大な数のユーザーが「ゼロ知識」の約束を信頼していることになる。

日本企業と個人への影響

日本では、サイバーセキュリティに対する意識が高まる中で、パスワード管理アプリの導入が進んでいる。特に、リモートワークの普及により、企業でも個人でも複数のオンラインサービスを利用する機会が増加している。

ソニーやトヨタなどの日本企業も、従業員のパスワード管理について厳格なポリシーを設けているが、外部のパスワード管理サービスに依存することのリスクを改めて検討する必要があるかもしれない。

日本の高齢化社会では、デジタルリテラシーの格差が問題となっており、「ゼロ知識」のような技術的概念を正しく理解せずにサービスを利用するユーザーも多い。