パスワードの保管方法 7つの手法からベストを選ぶ：5分で分かるパスワード

安全なパスワードを作成し、漏えい情報に注意するだけではパスワードは守れない。安全に保管する方法、つまり必要なときにパスワードを「思い出す」方法が残っている。7つの手法を紹介しよう。

[畑陽一郎，キーマンズネット]

　パスワードを安全に使うには主に3つの段階がある。「作成」「保管」「漏えい評価」だ。作成は連載第1回で、漏えい評価は連載第2回で紹介した。

　今回はパスワードを安全に保管する方法を紹介しよう。

パスワードの保管方法　7つの手法からベストを選ぶ

　パスワードを保管する際には安全性の他にも、利便性や可用性、コストを考慮しなければならない。以下では7つの手法を順に紹介する。

（1）頑張って暗記する
　パスワードを暗記だけに頼った場合、インターネットからその情報にアクセスすることはできないため、安全性は特に高い。ブルートフォース攻撃やソーシャルエンジニアリングの利用以外の方法では奪われにくい。利便性や可用性、コストにも問題がない。

　問題はパスワードの物量だ。1人が管理するパスワードは連載2回で紹介したように平均100個に達する。これら全てを暗記するのは現実的ではない。特に重要なパスワードに限って暗記するとよいだろう。権限が高いアカウントや金銭が関係するアカウントを管理するパスワードが対象だ。

（2）紙に記録する
　パスワードを付箋紙に書いて1枚だけディスプレイの脇に貼ったり、ノートPCの裏側に書いておいたりすることは望ましくない

　だが、意外にも紙の利用は公的機関が非推奨にしていない。インターネットに接続されていないため、適切な保管方法と組み合わせるとサイバー攻撃からのリスクを減らす役に立つからだ。コストはほとんど掛からないが利便性や可用性が下がるため、特に重要なパスワードについて暗記を補助するような使い方がよいだろう。なお、肩越しにパスワードを盗むショルダーハッキングなど物理的に盗み出される可能性を考慮しなければならない。

公的機関が推奨する紙の使い方

（A）内閣サイバーセキュリティセンター（NISC）
　NISCは「インターネットの安全・安心ハンドブック Ver.5.00」（https://security-portal.nisc.go.jp/guidance/pdf/handbook/handbook-06.pdf）において、パスワードを紙のノートに書いて保管する方法を推奨している。「紙のノートは一見内容が分からないようにできる専用のパスワードノートも売られています」とも書かれている。紙に記載されたパスワードを盗むには物理的な行動が必要であるため、セキュリティが向上するという。

（B）総務省
　総務省は「国民のためのサイバーセキュリティサイト」（https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/security/business/staff/06/）において「やむを得ずパスワードをメモなどで記載した場合は、鍵のかかる机や金庫など安全な方法で保管すること」と記している。

（3）ファイルに記録する
　パスワードが100個あったとしてもテキストファイルや「Microsoft Excel」のシートで管理すれば問題ない――このような考えは一見無謀に見える。平文で管理しているため、いったん攻撃者がファイルにアクセスできてしまえばパスワードが全て漏れてしまうからだ。実際にこの方法はあまりお勧めできない。

　この問題を改善するには複数の手法を組み合わせる。テキストファイルの暗号化やアクセス制限の設定、「木を隠すには森の中」戦術だ。パスワードと似た文字列が大量に含まれるテキストファイルやExcelシートを用意して、ユーザーだけが分かる目印を付けたり、一定の方法で取り出せるようにしておく。こうすればファイルが漏えいしたとしても即座に悪用されることはない。ただし、連載第2回の方法を使って漏えいについて管理する必要がある。

（4）Webブラウザに覚えさせる
　「Google Chrome」や「Microsoft Edge」「Mozilla Firefox」などのWebブラウザにはIDとパスワードの組み合わせを記録し、必要なWebページで入力を補助する機能がある。Google Chromeは「Googleパスワード マネージャー」機能と連携して、安全なパスワードの生成や不正利用された場合の通知などの機能も提供する。実に便利だ。利便性や可用性、コストにも問題がない。

　だが、インターネットに接続されたデバイスやソフトウェアは必ず攻撃の対象になる。

Google Chromeからパスワードが盗まれた

　Google Chromeに保管されていたパスワードを狙う攻撃は複数ある。Sophosは2024年8月、「Qilin」ランサムウェアによる攻撃の調査結果を発表した。攻撃者は多要素認証が設定されていない脆弱（ぜいじゃく）なVPNサーバから組織内部に侵入した後、不正に手に入れた資格情報を利用して「Active Directory」のドメインコントローラーにアクセスし、悪意のあるスクリプトを配布した。これによってGoogle Chromeに保存された認証情報を収集した。

　この他、Google Chromeの拡張機能を悪用した攻撃もある。「Googleの公表はウソだった？　「Chrome」の拡張機能が危険な理由」で紹介したように「Chrome ウェブストア」にはユーザーのパスワードを盗む機能がある拡張機能が登録されている。

　Cyberhavenは2024年12月、自社が登録したChromeの拡張機能を犯罪目的で改ざんした攻撃者について発表した。Chrome拡張機能の開発者を標的とした大規模な標的キャンペーンの一部だという。つまり学術調査で分かった拡張機能の危険性が実際の攻撃につながっていることが明らかになった。

　Keeper Securityは「ブラウザ上のパスワード保存機能はパスワード管理には向いてない」と主張する。なぜならWebブラウザが持つパスワードを保存する機能は、パスワード管理を目的としておらず、利便性を高めることが目的だという。

　それでもWebブラウザにパスワードを保管するのであれば、Webブラウザを最新状態に保つことはもちろん、囲み記事で紹介したような他の攻撃と組み合わさった場合に備えるためにセキュリティソフトウェアを併用することや二要素認証の利用を勧めている。

　結論を言えば、暗記の場合で説明したように権限が高いアカウントや金銭が関係するアカウントを管理するパスワードではWebブラウザのパスワード保存機能を利用しない方がよいだろう。

（5）パスワードマネジャーを頼る
　Webブラウザのパスワード管理機能よりも、パスワードマネジャーの方が安全だ。ただし、コストがかかる場合がある。もう一つの欠点はマスターパスワードであり、これが単一障害点になる。回復キーや二要素認証、管理者支援でアクセスできる場合があるものの、マスターパスワードを忘れてしまうと、全てのパスワードにアクセスできなくなる場合がある。マスターパスワードはパスワードマネジャー以外の方法で管理して、絶対に漏えいしないようにしなければならない。

　パスワードマネジャーの中にはパスワードの作成、保管、漏えい評価の全ての機能を備えているものもある。「Dashlane」は新しいアカウントを作成したり、既存のパスワードを変更する際にパスワード生成機能を利用したりできる。その際、パスワードの強度を評価できる。二要素認証にも対応しており、企業向けプランではシングルサインオンも利用できる。保存したパスワードがダークWebに漏えいしていないかどうか監視する機能や、パスワードの全体的な健康状態を表示する機能もある。有料プランでは利用中の複数のデバイスでパスワードを同期することも可能だ。

　ただし、パスワードマネジャーも万能ではない。Webブラウザにパスワードを保管する場合と同じ問題がついて回るからだ。

パスワードマネジャーも完璧ではない

　「LastPass」は2022年に2回にわたる攻撃を受けた。2022年8月の攻撃では開発者のアカウントが侵害されて開発環境に不正アクセスを受け、ソースコードと技術情報が盗み出された。2022年8〜10月の攻撃では攻撃者はユーザーの社名やエンドユーザー名、IPアドレス情報、パスワード、フォームに入力されたデータが盗み出された。ただし、LastPassは盗まれた情報は256bitのAES暗号で保護されており、ユーザーごとのマスターパスワードがなければ復号できないとした。

　本文で紹介したDashlaneでは2023年に「AutoSpill」と呼ばれる脆弱性が見つかっており、Androidアプリケーションがログインページを表示する際に、Dashlaneから認証情報がホストアプリケーションに漏えいする可能性があったという。

（6）二要素認証を利用する
　パスワードを保管するという目的を補完するのが二要素認証（多要素認証）だ。パスワード自体が漏えいしたとしても二要素認証を設定していれば、ユーザーや企業の情報にただしちにはアクセスできないからだ。二要素認証では安全性が高まり、利便性や可用性も損なわれない。ただしコストがかかる場合がある。

　二要素認証はパスワード単独よりも安全だが、攻撃を完全に防御できるわけではない。なぜなら、抜け道があるからだ。

　連載第3回でパスワードを盗み出す攻撃を紹介した。そのうち、フィッシング攻撃（スピアフィッシング攻撃）や中間者攻撃、SIMスワップ攻撃を使うと、二要素認証が突破される可能性がある。特に中間者攻撃とSIMスワップ攻撃はユーザー側で防御することが難しく、危険な攻撃だ。

Microsoft 365の二要素認証を突破するツール

　2025年1月16日、Sekoiaは「Microsoft 365」のユーザーを狙い、二要素認証を突破する新しい中間者攻撃について発表した。

　攻撃グループ「Sneaky Log」はこの目的のために開発したPhising as a Service（PhaaS）ツール「Sneaky 2FA」を販売している。Sekoiaによれば少なくとも2024年10月からツールが出回っている。

　類似したツール「FlowerStorm」も2024年11月ごろから攻撃に使われている。

　QRコードを使って二要素認証を突破する攻撃手法もある。「『QRコード攻撃』があなたを襲う　メールも紙も信用できない」で紹介した手法だ。

（7）パスキーを導入する
　パスキーではパスワードを使用しないため、パスワード管理の問題から解放される。全てのパスワードをパスキーに置き換えることができない場合であっても、パスキーの採用には利点がある。安全性はこれまで紹介した（1）〜（6）のどれよりも高く、利便性や可用性も高い。ただし、ソリューションを導入するためのコストが必要になる。

　パスキーはフィッシング攻撃への耐性がどのソリューションと比べても高い。パスワードを使用しないためだ。パスキーは公開鍵暗号方式を採用しており、秘密鍵はユーザーが管理するデバイスに取り出しが難しい形で格納されている。そのため、サーバ側が侵害されても情報が漏えいしにくい。

　課題は3つある。システム構築を前提としない場合、パスキーに対応していないWebサイトやサービスでは利用できないこと、デバイスを紛失した場合のバックアップ手段を用意しなければならないことだ。

ベストプラクティスは？

　今回はパスワードを管理する7つの手法を紹介した。ベストプラクティスはどれだろうか。

　パスワードマネジャーを利用し、強力なマスターパスワードを設定して、それを暗記するというのが現実的だろう。多要素認証やパスキーが利用できる場合は必ず使うようにしよう。