スイスのETH ZurichとUniversità della Svizzera italianaの研究チームが、主要なクラウド型パスワードマネージャーに合計25件のパスワード復元攻撃が可能な脆弱性を発見しました。Bitwarden、LastPass、Dashlane、1Passwordといった、世界で6,000万人以上のユーザーと約12万5,000の企業が利用するサービスが影響を受けます。現時点で実際の悪用は確認されていませんが、「整合性の侵害から組織内の全保管庫の完全な侵害まで」深刻度は多岐にわたると報告されています。
この記事のポイント
- Bitwarden(12件)、LastPass(7件)、Dashlane(6件)を中心に合計25件の攻撃手法が特定された
- 攻撃は「鍵エスクロー悪用」「アイテムレベル暗号化の欠陥」「共有機能の脆弱性」「後方互換性の弱点」の4カテゴリに分類される
- 各ベンダーは修正対応を進めているが、設計上の制約として受け入れている項目もある
ゼロ知識暗号化の実装に潜む問題
今回の研究が注目すべき点は、各パスワードマネージャーが採用する「ゼロ知識暗号化(ZKE)」の実装レベルでの脆弱性を突いていることです。ZKEとは、サービス提供者側がユーザーのマスターパスワードや保管庫の中身を一切知ることができない設計のことで、クラウド型パスワードマネージャーのセキュリティの根幹をなす概念です。
研究チームのMatteo Scarlata氏、Giovanni Torrisi氏、Matilda Backendal氏、Kenneth G. Paterson氏は、このZKEの実装において4つの大きなカテゴリの脆弱性を発見しました。理論上は安全であるはずの暗号化設計が、実際の製品実装では様々な攻撃ベクトルを生み出していることが明らかになりました。
4つの攻撃カテゴリの詳細
1. 鍵エスクロー悪用
BitwardenとLastPassのアカウント回復メカニズムを悪用する攻撃です。鍵エスクローとは、暗号鍵の復旧用コピーを保管する仕組みですが、この設計に欠陥があることで、本来保証されるべき機密性が損なわれる可能性があります。組織の管理者がアカウント回復を設定している場合、攻撃者がこの仕組みを悪用して保管庫全体にアクセスできる可能性が指摘されています。
2. アイテムレベル暗号化の欠陥
保管庫内の個々のアイテム(パスワードエントリ)を個別に暗号化する際、メタデータが暗号化されなかったり、認証が不十分だったりする問題です。これにより、整合性の侵害、メタデータの漏洩、フィールドの入れ替え、さらには鍵導出関数(KDF)のダウングレード攻撃が可能になります。たとえば、あるサイトのパスワードフィールドを別のサイトのものと入れ替えるといった攻撃が理論上可能です。
3. 共有機能の脆弱性
パスワードマネージャーの共有機能(チームや家族間でパスワードを共有する機能)が侵害されると、保管庫の整合性と機密性の両方が組織全体で損なわれる可能性があります。特に企業での利用においては、一人のユーザーの侵害が組織全体に波及するリスクがあります。
4. 後方互換性の弱点
BitwardenとDashlaneにおいて、レガシーコード(旧バージョンとの互換性のために残されたコード)がダウングレード攻撃の機会を生み出しています。古い暗号化方式への切り替えを強制することで、より弱い暗号化を利用させる攻撃が可能になります。
各ベンダーの対応状況
各パスワードマネージャーの開発元は、異なるアプローチで対応を進めています。
Dashlane は最も迅速に対応し、2025年11月にExtensionバージョン6.2544.1で暗号化ダウングレードの脆弱性を修正しました。弱い暗号鍵生成を可能にしていたレガシー暗号化サポートを完全に削除するという根本的な対策を講じています。
Bitwarden は特定された7件の問題を解決済みまたは修正中としていますが、残りの3件については製品機能に必要な意図的な設計判断として受け入れています。つまり、セキュリティと利便性のトレードオフとして一部のリスクを許容する姿勢です。
LastPass はアイテム、フィールド、メタデータの暗号学的バインディングを通じて整合性の保証を強化すると表明しています。
1Password は、特定された脆弱性はセキュリティ設計ホワイトペーパーに既に文書化されている既知のアーキテクチャ上の制限であるとしています。また、Secure Remote Password(SRP)認証の使用によりサーバー側攻撃を防止していると強調しています。
知っておくと便利なTips
- パスワードマネージャーのバージョンは常に最新に保つこと。特にDashlaneユーザーはv6.2544.1以降へのアップデートを確認しましょう
- 組織でパスワードマネージャーを使用している場合、アカウント回復機能の設定を見直し、不要であれば無効化を検討しましょう
- マスターパスワードは十分に長く複雑なものを使用し、他のサービスと使い回さないことが引き続き重要です
- 二要素認証(2FA)をパスワードマネージャー自体にも設定しておくことで、攻撃の成功確率を大幅に下げられます
まとめ
今回の研究は、クラウド型パスワードマネージャーの「ゼロ知識暗号化」という安心材料が、実装レベルでは必ずしも完璧ではないことを示しました。ただし重要な点として、これらの脆弱性が実際に悪用された証拠は確認されていません。パスワードマネージャーを使うこと自体は、パスワードの使い回しや単純なパスワードの使用よりも遥かに安全です。今回の発見を受けて各ベンダーが修正を進めていることは、エコシステム全体のセキュリティ向上につながるポジティブな動きと言えます。ユーザーとしては、最新バージョンへのアップデートを怠らず、マスターパスワードの強度と二要素認証の有効化を改めて確認することが推奨されます。
📎 元記事: https://thehackernews.com/2026/02/study-uncovers-25-password-recovery.html
コメント