パスワードマネージャー

パスワードマネージャーは、パスワードを自動生成、自動入力、保存することで、パスワード疲れを防ぐソフトウェアプログラムです。^[¹^]^[²^]ローカルアプリケーションや、オンラインショップやソーシャルメディアなどのウェブアプリケーションで役立ちます。^[³^]ウェブブラウザには、パスワードマネージャーが組み込まれていることがよくあります。パスワードマネージャーでは通常、ユーザーは保存されたパスワードにアクセスするために、単一のパスワードを作成して記憶する必要があります。パスワードマネージャーは、多要素認証やパスキー認証を統合できます。

歴史

パスワードを安全に保存するために設計された最初のパスワード管理ソフトウェアは、ブルース・シュナイアーによって作成されたPassword Safeで、1997年9月5日に無料ユーティリティとしてリリースされました。^[⁴^] Microsoft Windows 95用に設計されたPassword Safeは、シュナイアーのBlowfish アルゴリズムを使用してパスワードやその他の機密データを暗号化しました。Password Safeは無料ユーティリティとしてリリースされましたが、米国による暗号技術の輸出規制のため、当初は米国とカナダの市民と永住者のみダウンロードが許可されていました。^[⁴^]

2024年10月現在、Google Chromeに組み込まれているGoogleパスワードマネージャーが最も使用されているパスワードマネージャーとなっています。^{[ 5 ]}

種類

ブラウザベース

これらはChrome、Safari、Firefox、Edgeなどのウェブブラウザに直接組み込まれています。ブラウザを使用しているデバイス上で、基本的なパスワード管理に便利にアクセスできます。ただし、デバイス間の安全な同期や強力な暗号化などの機能が欠けているものもあります。

地元

これらはユーザーのデバイスにインストールされるスタンドアロンアプリケーションです。パスワードはローカルに保存されるため、強力なセキュリティを提供しますが、アクセスは特定のデバイスに制限される場合があります。人気のあるオープンソースの選択肢としては、KeepassXC、KeePass、Password Safeなどがあります。

クラウドベース

これらはパスワードを暗号化してリモートサーバーに保存し、インターネットに接続された対応デバイスからのアクセスを可能にします。通常、自動同期、安全な共有、強力な暗号化といった機能を備えています。例としては、1Password、Bitwarden、Dashlaneなどが挙げられます。

企業

企業向けに設計されたこれらのソリューションは、組織内のアクセス資格情報の管理に役立ちます。既存のディレクトリサービスやアクセス制御システムと統合され、ロールベースの権限や特権アクセス管理といった高度な機能を提供するものが多くあります。

ハードウェア

これらの物理デバイス（多くの場合USBキー）は、パスワード管理にさらなるセキュリティレイヤーを提供します。YubikeyやOnlyKeyのように、アカウントやデータベースへのアクセスのためのセキュアトークンとして機能するものもあれば、OnlyKeyのようにパスワードのオフラインストレージとして機能するものもあります。

脆弱性

弱い金庫の保管

一部のアプリケーションでは、パスワードが暗号化されていないファイルとして保存されるため、マルウェアや個人情報を盗もうとする人が簡単にパスワードにアクセスできてしまいます。

単一障害点としてのマスターパスワード

一部のパスワードマネージャーでは、アプリケーションが読み取るために保存されたパスワードを暗号化するための鍵として、ユーザーが選択したマスターパスワードまたはパスフレーズが必要です。この方法のセキュリティは、選択されたパスワードの強度（マルウェアによって推測される可能性があります）と、パスフレーズ自体が悪意のあるプログラムや個人が読み取ることができるローカルに保存されないことに依存します。マスターパスワードが侵害されると、保護されているすべてのパスワードが脆弱になる可能性があります。つまり、単一のエントリポイントから機密情報の機密性が侵害される可能性があります。これは、単一障害点として知られています。

デバイスのセキュリティ依存性

パスワードマネージャーは認証情報に対して強固なセキュリティを提供しますが、その効果はユーザーのデバイスのセキュリティに左右されます。データ窃取に長けたRaccoonのようなマルウェアにデバイスが侵害されると、パスワードマネージャーの保護が無効化される可能性があります。キーロガーなどのマルウェアは、パスワードマネージャーへのアクセスに使用されるマスターパスワードを盗み出し、保存されているすべての認証情報への完全なアクセスを許可する可能性があります。クリップボードスニファーは、マネージャーからコピーされた機密情報を取得する可能性があり、一部のマルウェアは暗号化されたパスワードボルトファイル自体を盗むことさえあります。つまり、パスワード窃取マルウェアに感染したデバイスは、パスワードマネージャーのセキュリティ対策を回避し、保存されている認証情報を無防備な状態のままにする可能性があります。^{[ 6 ]}

パスワード認証技術と同様に、キーロギングや音響暗号解読によって「マスターパスワード」が推測またはコピーされる可能性があります。一部のパスワードマネージャーは、このリスクを軽減するために仮想キーボードの使用を試みていますが、それでもキーロガーの影響を受けます。キーロガーはキー入力を記録し、機密情報にアクセスしようとしている人物にキー入力内容を送信します。^{[ 7 ]}

クラウドベースのストレージ

クラウドベースのパスワードマネージャーは、ログイン認証情報を一元的に保存する場所を提供します。しかし、このアプローチにはセキュリティ上の懸念があります。潜在的な脆弱性の一つは、パスワードマネージャー自体のデータ漏洩です。このような事態が発生した場合、攻撃者は大量のユーザー認証情報にアクセスできるようになる可能性があります。2022年に発生したLastPassのセキュリティインシデントは、このリスクを象徴しています。^{[ 6 ]}

パスワードジェネレータのセキュリティ

一部のパスワードマネージャーにはパスワードジェネレーターが搭載されている場合があります。パスワードマネージャーが、生成するすべてのパスワードに対して「シード」をランダムに生成するという脆弱な方法を採用している場合、生成されたパスワードは推測可能になる可能性があります。2021年にKaspersky Password Managerで発生した事例のように、パスワード生成方法の欠陥によって予測可能なパスワードが生成された事例が記録されています。^{[ 8 ]}^{[ 9 ]}

その他

カーネギーメロン大学の研究者による2014年の論文によると、ブラウザはログインページのプロトコルがパスワード保存時のプロトコルと異なる場合（HTTPとHTTPS）パスワードの自動入力を拒否する一方で、一部のパスワードマネージャーは暗号化された（HTTPS）サイトに保存されたパスワードの暗号化されていない（HTTP）バージョンを安全でない方法で入力してしまうことが判明しました。さらに、ほとんどのパスワードマネージャーはiframeやリダイレクトベースの攻撃に対する保護が不十分で、複数のデバイス間でパスワード同期を行う際に追加のパスワードが漏洩する可能性がありました。^{[ 10 ]}

閉塞

様々な有名ウェブサイトがパスワードマネージャーをブロックしようと試みてきました。2015年にはブリティッシュ・ガスがパスワードマネージャーをブロックしましたが、公の批判を受けて撤回しました。^{[ 11 ]}^{[ 12 ]}^{[ 13 ]}理由としては、自動攻撃からの保護、フィッシング詐欺からの保護、マルウェアのブロック、あるいは単に互換性を否定することなどが挙げられています。IBMのクライアントセキュリティソフトウェア「Trusteer」には、パスワードマネージャーをブロックするための明確なオプションが用意されています。^[¹⁴^]^[¹⁵^]

このようなブロックは、情報セキュリティ専門家からユーザーのセキュリティを低下させるとして批判されている。 ^{[ 13 ]}^{[ 15 ]}典型的なブロックの実装は、autocomplete='off'関連するパスワードウェブフォームでの設定を伴う。そのため、このオプションは現在、暗号化されたサイトでは無視される。^{[ 10 ]}例えば、Firefox 38、^{[ 16 ]} Chrome 34、^{[ 17 ]}やSafari 7.0.2以降などである。^{[ 18 ]}

一部のウェブサイトでは、パスワードの自動入力などの機能を無効にしたり、パスワードフィールドへの貼り付けをブロックしたりすることで、ユーザーがパスワードマネージャーに頼りにくくしていました。T-Mobile、Barclaycard、Western Unionなどの企業は、マルウェア対策、フィッシング対策、自動攻撃の削減といったセキュリティ上の懸念を理由に、こうした制限を導入しています。しかし、サイバーセキュリティの専門家は、これらの対策は逆効果となり、ユーザーが脆弱なパスワードを使い回したり、記憶だけに頼ったりするようになり、最終的にはアカウントの脆弱性を高める可能性があると批判しています。British Gasなどの一部の組織は、一般からのフィードバックを受けてこれらの制限を撤回しましたが、多くのウェブサイトでは依然としてこの慣行が続いています。^{[ 19 ]}

参照

参考文献

^ Waschke, Marvin (2017).個人のサイバーセキュリティ：サイバー犯罪を回避し、回復する方法. ベリンガム、ワシントン：Apress . p. 198. doi : 10.1007/978-1-4842-2430-4 . ISBN 978-1-4842-2430-4. OCLC 968706017 .
^ 「パスワードマネージャー - 情報セキュリティオフィス - コンピューティングサービス」カーネギーメロン大学。 2024年7月7日閲覧。
^ 「パスワードマネージャーとは？ - Techopediaによる定義」 Techopedia.com 2022年12月14日閲覧。
^ ^a ^b「Counterpane Systems、Blowfishのセキュリティをパスワードデータベースに導入」Counterpane Systems . 1998年1月19日時点のオリジナルよりアーカイブ。2023年6月24日閲覧。
^ 「米国：2023年版トップパスワードマネージャー｜Statista」Statista . 2024年7月18日時点のオリジナルよりアーカイブ。2025年2月23日閲覧。
^ ^a ^b Valiaugaitė, Inga (2022年7月13日). 「2024年にパスワードマネージャーは安全に使えるのか？」 . Cybernews . 2024年3月24日時点のオリジナルよりアーカイブ。2024年3月31日閲覧。
^ Nadkarni, Tanusha S.; Mohandas, Radhesh; Pais, Alwyn R. (2011). 「仮想キーボードを破る斬新な手法 - 最新ブラウザの安全でない機能を悪用する」 . Advances in Computing and Communications . Communications in Computer and Information Science. Vol. 191. Springer. pp. 680– 689. doi : 10.1007/978-3-642-22714-1_71 . ISBN 978-3-642-22713-4. 2025年4月11日閲覧。
^ Claburn, Thomas (2021年7月6日). 「Kaspersky Password Managerのランダムパスワードジェネレーターは、壁時計と同じくらいランダムだった」 The Register . 2024年3月7日時点のオリジナルよりアーカイブ。 2024年3月31日閲覧。
^ Arghire, Ionut (2021年7月7日). 「Kaspersky Password Managerが生成したパスワードは、すぐにブルートフォース攻撃に遭う可能性がある」 . SecurityWeek .オリジナルより2023年6月2日アーカイブ。 2024年3月31日閲覧。
^ ^a ^b「パスワードマネージャー：攻撃と防御」（PDF） . 2015年7月26日閲覧。
^ Wright, Mic (2015年7月16日). 「ブリティッシュ・ガスがパスワードマネージャーを故意に破り、セキュリティ専門家が驚愕」 . TNW . 2024年7月7日閲覧。
^ Reeve, Tom (2015年7月15日). 「ブリティッシュ・ガス、パスワードマネージャーのブロックをめぐる批判に屈する」 . 2015年7月24日時点のオリジナルよりアーカイブ。2015年7月26日閲覧。
^ ^a ^b Cox, Joseph (2015年7月26日). 「ウェブサイトの皆さん、パスワードマネージャーのブロックをやめてください。もう2015年ですから」 . 2015年7月26日閲覧。
^ 「パスワードマネージャー」。 2015年7月26日閲覧。
^ ^a ^b Hunt, Troy (2014年5月15日). 「パスワードフィールドへの貼り付けを無効にする『コブラ効果』」 . 2015年7月26日閲覧。
^ 「Windows 8.1のFirefoxは、オートコンプリートがオフの場合でもパスワードフィールドを自動入力する」。 2015年7月26日閲覧。
^ Sharwood, Simon (2014年4月9日). 「Chrome、バージョン34で新たなパスワードグラブ機能を導入」 . 2015年7月26日閲覧。
^ 「Re: 7.0.2: Autocomplete="off" still busted」2015年7月26日閲覧。
^ Zetter, Kim (2015年7月8日). 「ウェブサイトの皆様、パスワードマネージャーのブロックをやめてください」 . Wired . 2025年4月11日閲覧。

外部リンク

[:3-1] Waschke, Marvin (2017).個人のサイバーセキュリティ：サイバー犯罪を回避し、回復する方法. ベリンガム、ワシントン：Apress . p. 198. doi : 10.1007/978-1-4842-2430-4 . ISBN 978-1-4842-2430-4. OCLC 968706017 .

[2] 「パスワードマネージャー - 情報セキュリティオフィス - コンピューティングサービス」カーネギーメロン大学。 2024年7月7日閲覧。

[:0-3] 「パスワードマネージャーとは？ - Techopediaによる定義」 Techopedia.com 2022年12月14日閲覧。

[counterpane.com-4] 「Counterpane Systems、Blowfishのセキュリティをパスワードデータベースに導入」Counterpane Systems . 1998年1月19日時点のオリジナルよりアーカイブ。2023年6月24日閲覧。

[5] 「米国：2023年版トップパスワードマネージャー｜Statista」Statista . 2024年7月18日時点のオリジナルよりアーカイブ。2025年2月23日閲覧。

[Cybernews-6] Valiaugaitė, Inga (2022年7月13日). 「2024年にパスワードマネージャーは安全に使えるのか？」 . Cybernews . 2024年3月24日時点のオリジナルよりアーカイブ。2024年3月31日閲覧。

[7] Nadkarni, Tanusha S.; Mohandas, Radhesh; Pais, Alwyn R. (2011). 「仮想キーボードを破る斬新な手法 - 最新ブラウザの安全でない機能を悪用する」 . Advances in Computing and Communications . Communications in Computer and Information Science. Vol. 191. Springer. pp. 680– 689. doi : 10.1007/978-3-642-22714-1_71 . ISBN 978-3-642-22713-4. 2025年4月11日閲覧。

[8] Claburn, Thomas (2021年7月6日). 「Kaspersky Password Managerのランダムパスワードジェネレーターは、壁時計と同じくらいランダムだった」 The Register . 2024年3月7日時点のオリジナルよりアーカイブ。 2024年3月31日閲覧。

[9] Arghire, Ionut (2021年7月7日). 「Kaspersky Password Managerが生成したパスワードは、すぐにブルートフォース攻撃に遭う可能性がある」 . SecurityWeek .オリジナルより2023年6月2日アーカイブ。 2024年3月31日閲覧。

[paper-10] 「パスワードマネージャー：攻撃と防御」（PDF） . 2015年7月26日閲覧。

[11] Wright, Mic (2015年7月16日). 「ブリティッシュ・ガスがパスワードマネージャーを故意に破り、セキュリティ専門家が驚愕」 . TNW . 2024年7月7日閲覧。

[sc-12] Reeve, Tom (2015年7月15日). 「ブリティッシュ・ガス、パスワードマネージャーのブロックをめぐる批判に屈する」 . 2015年7月24日時点のオリジナルよりアーカイブ。2015年7月26日閲覧。

[wired-13] Cox, Joseph (2015年7月26日). 「ウェブサイトの皆さん、パスワードマネージャーのブロックをやめてください。もう2015年ですから」 . 2015年7月26日閲覧。

[14] 「パスワードマネージャー」。 2015年7月26日閲覧。

[troy-15] Hunt, Troy (2014年5月15日). 「パスワードフィールドへの貼り付けを無効にする『コブラ効果』」 . 2015年7月26日閲覧。

[16] 「Windows 8.1のFirefoxは、オートコンプリートがオフの場合でもパスワードフィールドを自動入力する」。 2015年7月26日閲覧。

[17] Sharwood, Simon (2014年4月9日). 「Chrome、バージョン34で新たなパスワードグラブ機能を導入」 . 2015年7月26日閲覧。

[18] 「Re: 7.0.2: Autocomplete="off" still busted」2015年7月26日閲覧。

[19] Zetter, Kim (2015年7月8日). 「ウェブサイトの皆様、パスワードマネージャーのブロックをやめてください」 . Wired . 2025年4月11日閲覧。

[

[

[

[

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[

[

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]