パスワードマネージャの"親切機能"が招く、意外な落とし穴（420号）

このところ、パスワードに関する話が多くなっていますが、今回も関連する話です。

ここ数年で、筆者自身もパスワードはブラウザ（chromeやEdgeといったインターネット閲覧ソフト）に覚えさせることが増えました。

実際に、パスワードをいちいち入力しなくていいのはラクですよね。
長いパスワードや複雑なパスワードも「どうせ機械に覚えさせるのなら」と採用しやすくなるのもいいですしね。

このパスワード管理機能も当初から随分と進化してるのですが、逆にそれがフィッシング対策の「落とし穴」となる可能性があることに気づきました。

これは、何年も前からある機能でして、今まで気づいてないのは、まさに「医者の不養生」でお恥ずかしい限り。

ですが、皆さんにも役立つ話です。
ぜひ、おつきあいください。


1. パスワード管理機能

ブラウザ（Chromeやsafariなどのインターネット閲覧ソフト）で入力されたパスワードを覚えてくれるようになったのは、10年以上も前の話です。

当初は、機械に重要な情報を覚えさせることを「良くない習慣」と考える方も一定数いました。（筆者もその一人）
ですが、インターネットサービスが爆発的に増え、多数のパスワードを使い分けなければいけない現代では、利用しない理由がありません。

特に、パスワードの使い回し（複数のサービスで同じパスワードを利用すること）は非常に危険です。

この理由は、先日の417号に詳しく書きましたので、そちらをご覧ください。
　証券会社のパスワードは絶対に使い回さないで！（417号）
　https://note.com/egao_it/n/neff12145fd64

特に最近（といっても５年以上前）は、パスワードの自動生成ができたり、脆弱なパスワードを入れようとするとやんわり警告してくれたりといった、より安全となるような「親切」機能が充実してきています。

ところが、一部に、過剰な親切（というか「おせっかい」）とでも言うべき、安全性を失いかねない機能があります。


2. パスワード候補一覧

それがパスワード候補一覧です。

その前に、ブラウザがIDとパスワードを自動選択して表示する仕組みを簡単にお話しておきます。

ブラウザがサイトを訪問する時には、必ずURL（Uniform Resource Locator）というものを使います。ブラウザの画面の上に出ている https://www.example.com/.... みたいなやつです。

内部では、IDとパスワードのセットだけでなく、どのURLで使ったものか、言い換えれば、どのサービス用で使っていいか、ということを覚えています。

URLを覚えているからこそ、IDとパスワードがオンラインバンキング用か、ニュースサイト用か、通販サイト用かというのが識別できるわけです。

ところが、新しいサービスの画面では、IDやパスワードはわからないので、空欄のままとなります。

こんな場合に出てくるのが、パスワード候補一覧です。

この画面では、内部で覚えているIDやパスワードが候補として一覧表示されます。
例えば、サイトのリニューアルでURLが変わった場合なら、旧サービス名のIDを選択するだけで、ちゃんとIDとパスワードが入力されます。

まあ、便利といえる「おせっかい」機能ですね。

正しく利用される限りは...。


3. フィッシングサイト対策が台なし

元々のパスワード管理機能は、フィッシングサイト対策としては無敵の堅牢さを誇ります。最強といっていいでしょう。

ところが、「パスワード候補一覧」というやつは、フィッシングサイト（IDやパスワードを盗もうとする悪意のサイト。自称ホンモノのニセモノサイト）対策としては最悪です。

自称ホンモノのサイトというのは、見た目はホンモノそっくりにできても、URLだけはホンモノのふりができません。
だって、ホンモノのURLを書けば、ホンモノのサイトにアクセスしちゃいます。

一方で、パスワードマネージャはURLを見て、どのID/パスワードを自動入力するかを決めます。ニセモノのURLに合致するID/パスワードはないので、結果として何も自動入力はされません。
だから、パスワードマネージャがフィッシングサイト対策で最強なのです。

もう、お気付きでしょうが、パスワード候補一覧はその強さを台なしにします。

URLの不一致からID/パスワードの漏洩を防いだとしても、パスワード候補一覧が出てくれば、「あれ？自動入力されないぞ。仕方ないな」とフィッシングサイトでも正しいID/パスワードを選択してしまうでしょう。

特にこの問題はApple(iOS)製品で顕著です。

一般に、Apple製品はセキュリティを重視する傾向が強いのですが、パスワード候補一覧関しては、セキュリティより、利用者の利便性を採ってしまったようです。
非常に残念な話です。

一方のAndroidのスマホやタブレットは、まだかなり固くて、今までアクセスしたことのない新サービスの場合でも、パスワード候補一覧が表示されることはほぼありません。

iOSを利用されている方は十分にご注意いただきたいと思います。


4. どうすりゃいいの

既に結論はわかると思いますが、パスワード候補一覧が出た時点で「異常事態発生」と考える習慣を付けてください。

決して、「スマホが間違った」とか「たまにはコンピュータも踏み外すやろ」と考えてはいけません。それは極めて危険です。

URLが違っていれば自動入力はされません。
本当なら、そこで、「あれ？自動入力されない？あ！そうか。フィッシングサイトだったのか！」と気付くチャンスがあるのです。

でも、パスワード候補一覧はその「気づき」の機会を奪います。
フィッシングに騙されやすくなってしまうのです。

残念なことに、パスワード候補一覧だけをOFFにする方法はありません。

現状で利用者が取れる手段は限られています。
パスワード候補一覧が出たら「異常事態か？」と考えてください。


5. まとめ

今回は、パスワード管理機能の「親切」機能である、パスワード候補一覧の危険性についてお話をしました。

ここ数年は筆者も、パスワード管理機能を積極的に利用するようにしています。
利便性はもちろん、フィッシング対策としても広くオススメできる機能です。

この無敵のパスワード管理機能が、パスワード候補一覧という「おせっかい」機能のおかげでランク落ちとなったのは残念でなりません。

次回もお楽しみに。

今日からできること：

　・パスワード候補一覧が出ても選択しない。
　・すぐにブラウザを終了し、信頼できる人に相談する。
　・続くようであれば、サービスの公式サイトでサポートをお願いする。

（本稿は 2025年8月に作成しました）