学術セキュリティ研究者のグループが、4つの人気のあるクラウドベースのパスワードマネージャーの脆弱性を詳細に報告しました。これらの脆弱性により、攻撃者は被害者のボルトに保存されているパスワードを表示および変更できる可能性があります。
スイスのETH ZurichおよびÙniversità della Svizzera italiana(USI)の研究者は、Bitwarden、LastPass、Dashlane、1Passwordのクラウドベースのパスワード管理サービスを対象とする27の攻撃シナリオを開発しました。
攻撃の重要度は整合性違反から組織内のすべてのボルトの完全な侵害まで様々で、これらのシナリオの多くは攻撃者がパスワードを復元することを可能にしています。
これらの攻撃シナリオは、パスワード管理プロバイダーが提供している「ゼロ知識暗号化」の主張に異議を唱えています。これは、ユーザーボルトを保存するサーバーが、たとえ侵害されたとしても、その内容について何も学習できないということを示唆しています。
調査結果は2月16日に発表されたピアレビュー論文で公開され、2026年8月にメリーランド州ボルチモアで開催される次のUSENIX Security Symposiumでの講演のテーマとなります。
エンドツーエンド暗号化の主張への攻撃
研究者が開発した27の攻撃シナリオは、認証されていない公開鍵、暗号文整合性の欠如、不十分な鍵の分離、データとメタデータ間の暗号化バインディングの欠如を含む、共通の設計アンチパターンと暗号化の誤解を明らかにしました。
これらは、パスワードマネージャーの機能に基づいて4つのカテゴリに分類されました:
- 鍵エスクロー:認証されていない鍵エスクロー機能とアカウント復旧機能による完全なボルト侵害(4つの成功した攻撃:Bitwarden対3件、LastPass対1件)
- ボルト暗号化:欠陥のあるアイテムレベルの暗号化を通じた整合性違反、メタデータ漏洩、フィールドスワップ、鍵導出関数(KDF)ダウングレード(11の成功した攻撃:LastPass対5件、Bitwarden対4件、Dashlane対1件、1Password対1件)
- 共有:認証されていない公開鍵による組織および共有ボルトの侵害(5つの成功した攻撃:Bitwarden対2件、LastPass対1件、Dashlane対1件、1Password対1件)
- 後方互換性:安全でないレガシー暗号化へのダウングレード、機密性喪失とブルートフォース攻撃を可能にする(7つの成功した攻撃:Dashlane対4件、Bitwarden対3件)
合計すると、研究者はBitwardenに対して12の異なる攻撃シナリオ、LastPassに対して7件、Dashlaneに対して6件、1Passwordに対して2件を提示しました。
研究者は、他の3つのパスワードマネージャーとは異なり、1Passwordは鍵導出に高いエントロピーを持つ暗号鍵を含んでおり、会社はこれを「秘密鍵」と呼んでいます。これはユーザーがそのボルトとパスワードにアクセスするために必要なマスターパスワードと同様です。
これにより1Passwordはセキュリティ上の利点を得られ、「ブルートフォース攻撃は手が届かない範囲にあるべき」と研究者は付け加えました。
ETH Zurichのコンピュータサイエンス部門の教授であり、論文の主要著者の1人であるKenneth Patersonは、彼と同僚が「セキュリティ脆弱性の重要度に驚いた」と述べました。
彼は、彼のチームが既に他のクラウドベースのサービスで同様の脆弱性を発見していたが、パスワードマネージャーが保存する重要なデータのため、パスワードマネージャーの大幅に高いセキュリティ標準を想定していたと説明しました。
「エンドツーエンド暗号化はまだ商用サービスで比較的新しいため、誰もそれを詳細に調べたことがないようです」と彼は述べました。
Bitwardenに対する悪意のある自動登録
研究者が開発した攻撃の例は、クラウドベースのBitwardenボルト(BW01)に対する「悪意のある自動登録」攻撃でした。
これは、Bitwardenの組織オンボーディングプロセスにおける重大な欠陥を悪用しました。サーバーを制御する攻撃者は、信頼できるソースからのものであっても、ユーザーが招待を受け入れた瞬間にユーザーのボルトを静かに乗っ取ることができました。
根本的な問題は、オンボーディング中に取得した組織データの整合性保護の欠如でした。これには、ポリシーと暗号化鍵が含まれます。ユーザーが組織に参加するとき、彼らのクライアントはサーバーの応答を盲目的に信頼し、攻撃者がそれを操作することを許可します。
アカウント復旧ポリシーで自動登録を有効にし、組織の正当な公開鍵を独自の公開鍵と交換することにより、攻撃者はクライアントにユーザーのマスターキーを悪意のあるキーの下で暗号化させ、抵抗なくそれを引き渡すことを強制できました。
攻撃は3つの重要なステップで展開されます。
- 攻撃者はユーザーの組織参加リクエストを傍受し、サーバーの応答を改ざんされたポリシー(自動登録をtrueに設定)と偽造公開鍵で置き換えます
- 詐欺に気付かないクライアントは、ユーザーのマスターキーを攻撃者の鍵の下で暗号化し、「アカウント復旧暗号文」として返送します
- 最後に、攻撃者は秘密鍵を使用してこの暗号文を復号化し、マスターキーを露出させます
ユーザーのマスターキーを手に入れることで、攻撃者は保存されているすべてのパスワード、メモ、機密データへの完全なアクセスと、検出されずにエントリを変更または削除する能力を得ることができます。
影響は深刻です。単一の侵害されたサーバーは、正当で信頼できる組織に参加していても、ユーザーの大量侵害につながる可能性があります。
さらに悪いことに、攻撃は指数関数的に拡大します。攻撃者が組織内の「1人の」ユーザーを侵害した場合、彼らはチームの複数のメンバーと共有される可能性のある組織の秘密鍵にアクセスできます。
Bitwarden、LastPass、Dashlaneで進行中の修復
研究者は、すべての脆弱性の詳細な説明を含む調整された90日間の開示プロセスを通じて、Bitwarden、LastPass、Dashlaneに彼らの調査結果を開示しました。
彼らはビデオ会議、メール交換、パッチレビューを通じてサポートも提供しました。
3つのベンダーはすべて、これらの脆弱性の修復が進行中であることを研究者に通知しました。
1Passwordは、研究者によって彼らのサービスに対して実行された2つの攻撃シナリオにも気付いていましたが、エンバーゴ期間をリクエストしませんでしたが、会社は脆弱性を「既に既知のアーキテクチャ上の制限に起因する」と見なしていると述べました。
研究者は、パスワードマネージャーベンダーが現在悪意のある、または侵害されていると信じる「理由がない」こと、およびパスワードは「そのままであれば安全」であることを指摘しました。
「それは言いますが、パスワードマネージャーは高価値のターゲットであり、侵害は起こります」と研究者は付け加えました。
軽減推奨事項
科学論文で、研究者は彼らの攻撃はすべて、認証暗号化、鍵分離、平文認証、公開鍵認証、暗号文認証などの認証方法の組み合わせを使用して軽減できると述べました。
Bitwarden、LastPass、またはDashlaneのユーザーは、彼らのプロバイダーの修復ステータスをチェックするよう勧告されます。
他のパスワードマネージャーのユーザーは、プロバイダーに監査を依頼するか、次の質問をすることで、彼らのパスワードが同様の攻撃によって侵害される可能性があるかどうかを確認できます:
- エンドツーエンド暗号化を提供していますか?サーバーインフラストラクチャが侵害された場合、どのようなセキュリティを提供していますか?
- 公開鍵と公開鍵暗号文が真正であることをどのように確認していますか?
- KDFタイプやイテレーション数などのセキュリティ上重要な設定をどのように認証していますか?
- ユーザーのボルト全体の整合性保証を提供していますか?悪意のあるサーバーはあなたのボルトにアイテムを追加できますか?
翻訳元: https://www.infosecurity-magazine.com/news/vulnerabilities-password-managers/
