1Password
パスワード管理機能
From Wikipedia, the free encyclopedia
1Password(ワンパスワード)はパスワード管理拡張機能であり、カナダのソフトウェア開発企業アジャイルビット社(英語: AgileBits Inc.[注 1])が開発した。iOS、Android、Windows、Linux、macOSなど複数のプラットフォームに対応する[5]。仮想的な保管庫(ボルト)を設けてPBKDF2で保護したマスターパスワードでロックできるようにして、ユーザーにさまざまなパスワードやソフトウェアライセンスその他の機密情報を保存できる場所を提供する[6][7]。ユーザーの暗号化された保管庫は既定で、月額料金制度で当拡張機能のサーバー上にホストされる[8]。
パスワードファイルの同期
ブラウザ拡張機能
デスクトップ版のウェブブラウザ類と統合する拡張機能として、対象はSafari、Chrome、Firefox、Edge、Operaを含む[14]。ウェブサイトのログイン情報を記憶し、入力を自動化し、新しいウェブサイト用にランダムなパスワードの生成ができる[15]。
一般にブラウザ拡張機能を使用するには、ブラウザを積んだコンピュータの管理者権限が必要であるが、職場支給のPCを使うユーザーにはそれが問題であった。法人向けの対処策として1Passwordが提供する月額購読プランでは、ウェブ経由でユーザー名とパスワードにアクセスし、ログイン画面にコピー・アンド・ペーストが可能である[16]。また家族用や個人用のプランも用意されている[17]。
1Passwordはまた、FirefoxとChrome、Operaに対応するスタンドアロンの拡張機能を「1Password X」と名付けて提供[18]。そちらの設計では、デスクトップ版のコンパニオンとなるアプリは不用である代わりに、1Password.comの購読が義務付けられる[19]。
モバイル版はiOSおよびAndroidデバイス上のブラウザやアプリとの統合をさまざまに提供し、iOS 12[20]ならびにAndroid Oreo(に加えて以降の版)[21]はそれぞれ、ログイン情報の入力・保存方法の利便性を高めた。
歴史
ダン・グイドCEO(Trail of Bits社)は2017年、『コンシューマー・レポート』誌に載せた記事で(Dashlane、KeePass、LastPassと並んで)当1Passwordを人気のあるパスワードマネージャーとして挙げ、どれを選ぶのも主に個人の好みに依ると述べた[8]。
バージョンを更新した1Password 7は従来版の買い切り版からサブスクリプション制度に移行し、永久ライセンスの購入もアプリ内から可能になった[8][22](料金は2018年時点で年額64.99ドル[23])。さらにバージョン8でパスワード保管庫をローカルに保存するオプションを削除してしまい批判を浴びている[24]。
2019年11月14日にベンチャーキャピタルのアクセルとの提携を発表、同社の投資額はシリーズAラウンドで2億ドルと少数株主の座を得る[25]。これは当1Passwordの開発史上、外部資金調達の第1号であり、当時のアクセル社にとっては従来最高の単独投資であった[26]。
シークレットハブ(SecretHub)というサイバーセキュリティ企業(オランダ)の買収は2021年[27]、また評価額20億ドルに対して1億ドルの資金を調達した[28]。
2022年1月、Iconiq Growth主導の「シリーズCラウンド」を導入、6億2000万ドル相当を取り付ける。これはカナダ史上最大の資金調達額であり、当社の評価額は68億ドルに達した。このラウンドには、著名な個人投資家のライアン・レイノルズ、ロバート・ダウニー・Jr、ジャスティン・ティンバーレイクほかが参加した[29]。
2022年11月、当社はパスキー(Passkey=本拠地テキサス州)というツールのプロバイダー「Passage」を買収したと発表、金額は非公開である[30]。
当社の年間経常収益(ARR)は2023年9月時点で2億5000万ドル超に達し、10万社を超える法人顧客から得た収益は3分の2超を占めた[31]。
CEOのデイビッド・フォーニョは2025年11月にCNBCの取材に応じ、当1Passwordの年間経常収益が4億ドルを超えたこと、さらにIPO(新規株式公開)は2026年または2027年に検討中と語った[32]。
評価
セキュリティに関する批判
2017年Cloudbleed
2017年、Cloudflare(通称「Cloudbleed)のインフラにバグが発生、それに起因するデータ流出の懸念が生じ、主要なオンラインサービスの多くに波及すると案じられた[34]。当1Passwordは利用者にリスクはないと表明し、データ保護はエンドツーエンドの暗号化を施しており、TLSのみに依存していないと強調した[35]。
2017年Androidアプリの脆弱性
2017年にフラウンホーファー安全情報技術研究所、頭字語SIT)が分析結果を発表し、当1Passwordを含めた複数のAndroid用パスワードマネージャーにセキュリティ上の欠陥が複数、特定されたと公開した[36]。パスワード漏洩[37]、URLをHTTPSからHTTPへダウングレード[38]、データベースに保存したタイトルとURLの暗号化の解除[39]、個人特定データの盗み読み[40]、情報漏洩[41]など、開発者への報告を追って修正された[42]。
2023年Oktaカスタマーサービスへの不正アクセス
2023年10月、当1Passwordの開示により、Okta社の顧客サポートシステム関連のセキュリティ侵害が波及したと判明した。疑わしい活動は迅速に封じ込め、利用者あるいは従業員、さらにまたその他の機密データの侵害はなかったとしている[43]。
2024年パスワードチェックツールの評価
ハッチンソンらによる2024年の研究では脆弱、流出したもの、ランダムに生成したパスワードをそれぞれ用いて、当1Passwordを含むパスワードマネージャー14件の「パスワードチェック」機能を調査した。著者らは、評価対象の製品が一貫性もなく時には不完全な形で、脆弱または侵害されたパスワードを報告すると発見した。それらマネージャー機能にはその時点で、既知の流出パスワード全件に正常なフラグ付与をしたものは1件もない。同研究から、このような不一致により利用者は誤った安心感を受けている可能性を指摘し結論づけた[44]。
2025年 DOMベースの拡張機能クリックジャッキング
セキュリティ研究者のマレク・トート(Marek Tóth)は、2025年8月9日のDEF CON 33において、当1Passwordを含む複数のパスワードマネージャーのブラウザ拡張機能における脆弱性を発表した。これらの拡張機能は既定の設定のままではDOMベースの拡張機能クリックジャッキング手法に晒され、攻撃者がワンクリックでユーザーデータを抽出できると判明した[45]。2025年4月付で影響を受けるパスワードマネージャーのベンダーに通知、トートによれば、1Passwordのバージョン8.11.8.40は依然として脆弱性を保ったままである[46]。