フィッシング詐欺対策で登場し、急速に普及が進んでいるパスキーだが、便利に使うための同期機能を盗む泥棒が登場したと。
以下、記事の一部を紹介し対策を検討する。
ログインできなくても侵入できる?
パスワードに代わる認証手段として普及が進むパスキー。しかし、研究者が公表した新たな攻撃手法は、その安全性を支える“別の仕組み”に着目していた。
暗号技術そのものを破らず、Google Password Manager利用者の認証情報に到達する手法とは。
https://atmarkit.itmedia.co.jp/ait/articles/2606/08/news056.html
2026年06月08日 11時00分 公開
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
セキュリティ企業のPhishUは2026年5月20日(現地時間)、「Google Password Manager」(以下、GPM)の同期機能を悪用し、利用者のパスキーおよび保存済みパスワード群にアクセスできる攻撃手法「Vaultjacking (ボールトジャッキング 金庫泥棒」を発表した。
Google Password Manager同期機能を悪用 パスキーにアクセスする新手法
PhishUによれば、この手法はWebAuthnそのものを破るものではない。攻撃対象はGPMの同期基盤であり、利用者のGPM PINを取得し、新たな端末として「Googleアカウント」のセキュリティドメインに参加し、同期済み認証情報群を取得する。
GPMではパスキーやパスワードが複数端末間で同期される。同期データは、パスキーや保存済みパスワードを暗号化・復号する共通マスターキー「Security Domain Secret」(SDS)によって保護されており、新しい端末がセキュリティドメインに参加する際にはGoogleアカウントへの認証とGPM PINの入力が求められる。
PhishUは、この6桁PINをAiTM(Adversary-in-the-Middle)型フィッシングによって取得できれば、後から攻撃者側の環境で同期済み認証情報群を復号できると説明している。
Geminiの回答
ログインできなくても侵入できる?
報道された「Vaultjacking(ボルトジャッキング)」は、確かにセキュリティ業界やGoogleにとって非常に大きな一石を投じる内容ですが、結論から言うと「Googleアカウントに全くログイン(認証)できなくても、魔法のようにどこからでも侵入できる」というわけではありません。
暗号技術そのものを壊したのではなく、「ユーザーを騙してログインさせ、さらに特定の暗号解除キー(PIN)まで盗み取る」という、極めて巧妙なフィッシング(中間者攻撃:AiTM)を組み合わせた手法です。
この攻撃のメカニズム、なぜ「Googleのピンチ」と言われるのか、その本質を詳細に解説します。
1. 攻撃のメカニズム:何が起きているのか?
パスキー(WebAuthn)自体は、端末の生体認証(指紋や顔認証)と公開鍵暗号を使っており、従来の「パスワードを盗む」フィッシングに対して極めて強い耐性を持っています。
しかし、今回の手法「Vaultjacking」が狙ったのは、パスキーそのものではなく、「Googleが利便性のために提供している、複数端末間でパスキーを同期する仕組み」です。
攻撃の具体的なステップ
- AiTM(中間者攻撃)型フィッシングの罠 攻撃者は、本物のGoogleログイン画面にそっくりな偽サイト(プロキシサーバー)を用意し、ユーザーを誘導します。
- 通常の「ログイン」の突破 ユーザーがそこにID・パスワード、さらには2段階認証(SMSや認証アプリのコード)を入力すると、攻撃者のサーバーを「中間」に経由して本物のGoogleに送信されます。これにより、攻撃者はユーザーのログインセッション(認証状態)を乗っ取ることに成功します。
- 「GPM PIN(6桁)」の詐取(ここが新しい!) 通常なら、ログインされただけでは暗号化されたパスキー群(保管庫:Vault)は復号できません。Googleはこれを保護するために、ユーザーが設定した6桁の「Google Password Manager PIN(GPM PIN)」を要求します。 攻撃者はこの偽画面も用意し、ユーザーに「本人確認のため、GPM PINを入力してください」と促し、この6桁のコードも盗み取ります。
- 「セキュリティドメイン」への不正参加と同期 Googleの仕組みでは、アカウント認証が通り、かつ正しいGPM PIN(またはSDS:Security Domain Secretを解除する鍵)が入力されると、その端末は「信頼された新しい端末」として認められます。 攻撃者は、自分の用意した環境を「新しい同期端末」として登録し、Googleのサーバーから暗号化されたパスキーやパスワードのリストを丸ごとダウンロードし、盗んだPINで一括復号(解除)します。
2. 「ログインできなくても侵入できる?」の答え
いいえ、ログイン(およびそれと同等の認証)は必要です。 記事にある「暗号技術そのものを破らず」「ログインできなくても」というニュアンスは、「(パスキーで保護された個別のWebサイトに)個別にログインを試みる必要はなく、Googleの同期システム自体に潜り込むことで、すべてのパスキーを一網打尽にできる」という意味です。
ですので、ユーザーが一切騙されず、偽サイトにID・パスワードやPINを入力しなければ、攻撃者が勝手にGoogle Password Managerの中身を盗み出すことはできません。
3. なぜこれが「Googleのピンチ(深刻な問題)」なのか?
では、単なるフィッシングの一種なのに、なぜこれほど重大視されているのでしょうか。理由は3つあります。
① パスキーの「フィッシング耐性」という前提が揺らぐ
パスキーの最大のメリットは、「偽サイトに入力しようとしても、ドメインが異なれば端末がパスキーを送信しないため、フィッシングに100%強い」という点でした。 しかし、今回の手法は「個別のサイトのパスキー」を盗むのではなく、「パスキーを管理・同期している大元のGoogleアカウントの、同期用PIN」をフィッシングで盗んでいます。結果として、パスキーを安全に保管・同期するためのインフラ(Google)が、フィッシングによって破られるという皮肉な構造になっています。
② 一度成功すると、後から永続的に盗まれる
従来のフィッシング(セッションハイジャック)は、Google側が「不審なアクセス」としてセッションを切断すれば防げました。 しかし、Vaultjackingは攻撃者の端末を「正規の同期端末(セキュリティドメインのメンバー)」として登録させてしまうため、一度侵入を許すと、ユーザーが気づいてその端末を削除するか、PINを変更しない限り、将来にわたって新しく追加したパスワードやパスキーが攻撃者側に同期され続けるリスクがあります。
③ Googleの「利便性への配慮」が裏目に出た
Googleは、ユーザーがスマートフォンを紛失しても、新しいスマホを買ったときにすぐパスワードやパスキーを復元できるよう、クラウド(Googleアカウント)経由の同期をデフォルトにしています。この「クラウド同期の鍵」を「6桁のPIN」という、人間が覚えて入力できる(=フィッシングで騙し取れる)形式に依存していた設計の隙を突かれた形です。
4. 今後の対策と私たちが気をつけるべきこと
この攻撃を防ぐため、今後Google側は以下のような対策を強化すると予想されます。
- 新しい端末が「セキュリティドメイン」に参加する際、すでに所有している他の信頼済み端末(既存のスマホなど)での「物理的な承認(プッシュ通知での許可など)」を必須にする(単純な6桁PINの入力だけでは完了させない)。
- リスクベースの検知(見知らぬIPアドレスや環境からの同期要求を遮断)の厳格化。
ユーザー側の防衛策
現時点で私たちができる対策は、古典的ですが最も効果的です。
- URLの厳格な確認: Googleアカウントのログインや、特に「GPM PIN」の入力を求められた場合は、ブラウザのブラウザアドレスバーが必ず
https://accounts.google.com/になっているかを確認する。 - 物理的なセキュリティキー(YubiKeyなど)の利用: Googleアカウント自体の2段階認証に、フィッシング不可能な物理セキュリティキーを設定しておけば、最初のステップ(AiTMによるログインセッション奪取)を確実に阻止できます。
技術的にパスキーという「鍵」自体が偽造されたわけではなく、「鍵が大量に入った金庫(GPM)を、別の部屋に丸ごと引っ越しさせるための手続き(同期)を騙し取られた」というのが、この問題の本質です。
