暗号メールサービスのProtonがエンドツーエンド暗号化されたパスワードマネージャー「Proton Pass」を発表

強固なプライバシー保護法が存在するスイスでも運用されているエンドツーエンド暗号化が施されたメールサービス・Proton Mailを開発するProtonが、独自のパスワードマネージャー「Proton Pass」を発表しました。

Proton Pass is now in beta | Proton
https://proton.me/blog/proton-pass-beta

Proton launches an end-to-end encrypted password manager - The Verge
https://www.theverge.com/2023/4/20/23691097/proton-end-to-end-encrypted-password-manager-e2ee

現地時間の2023年4月20日、Protonがサービス初期からProton Mailをサポートしてくれたユーザー(Visionary)向けに、エンドツーエンド暗号化が施された独自のパスワードマネージャー「Proton Pass」のベータ版の提供を開始しました。ベータ版Proton Passへの招待状は、2023年4月第5週中に有資格者にメールで送信される模様。

パスワードマネージャーはProtonユーザーから最も要望の多かった新しいプロダクトのひとつだそうです。そんな声を受けて開発されたProton Passは、Proton Mailと同じくエンドツーエンドの暗号化を使用することで資格情報を保護し、標準のパスワードマネージャー以上にセキュアなものに仕上がっているとのこと。Protonは2023年後半にもProton Passを一般公開する準備を進めており、「詳細は今後数週間から数カ月で明らかになるだろう」とのこと。

2022年、Protonはオープンソースの匿名メールサービスであるSimpleLoginを買収しました。SimpleLoginは自身のメールアドレスを公開することなく、ウェブサービス上でアカウントを作成したり、メールを受信したりすることができるようになるというサービス。アカウントへのログインをより安全・プライベート・簡単にすることがSimpleLoginの当初のビジョンであり、サービス名もこのビジョンにちなんでつけられています。Proton PassはそんなSimpleLoginとProtonのエンジニアが協力して開発したパスワードマネージャーであるとのこと。

Protonの創設者兼CEOであるアンディ・イェン氏は、「SimpleLoginを買収することで、他のProtonサービスへの取り組みに影響を与えることなく新しいパスワードマネージャーを開発することができました」と語り、SimpleLoginの買収により他サービスの開発に影響が出なくなったことをアピール。加えて、「パスワードは機密情報であるため、安全でないパスワードマネージャーはProtonコミュニティにとって非常に危険です」と語り、プライバシーやセキュリティを重視するProtonにとってパスワードマネージャーは重要事項のひとつであったとしています。

Protonは「悪意を持った攻撃者がハッキングなどによりパスワードを窃取した場合、基本的にすべてのProtonサービスの高度な暗号化をバイパスできてしまいます。そもそも、パスワードを適切に保護するには暗号化とセキュリティに関する高レベルの能力が必要になります。しかし、それを持ち合わせている組織はほとんどありません。我々はパスワードマネージャーの大規模な侵害によってもたらされるリスクについて常に心配してきましたが、残念なことに、最近のLastPassのハッキングにより危惧は現実のものとなっています」と語り、独自のパスワードマネージャーを立ち上げることに決めた理由を説明しています。

さらに、Protonは「Proton Passは単なるパスワードマネージャーではありません。これはおそらく暗号化とプライバシーを専門とする会社によって構築された最初のパスワードマネージャーで、セキュリティ面において目に見える違いがあるはずです。例えば、他の多くのパスワードマネージャーはパスワードのみを暗号化しますが、Proton Passはすべてのフィールド(ユーザー名、ウェブアドレスなどを含む)でエンドツーエンドの暗号化を施します。一見無害な情報(他の多くのパスワードマネージャーでは暗号化されない保存済みURLなど)を使用することで非常に詳細なプロファイルを作成することもできるため、この暗号化は非常に重要です」と述べ、他のパスワードマネージャーとの違いをアピール。

なお、Proton Passは強力なパスワードハッシュ化関数であるbcryptと、認証用のセキュアリモートパスワード(SRP)を実装しており、他にも完全に統合された2要素認証を含むさまざまな機能を実装しています。また、2要素認証の自動入力もサポートしており、アカウントを誰でも簡単かつセキュアに保護することが可能となるそうです。

Proton Passは他のすべてのProtonサービスと同様にオープンソースで開発されており、誰でもセキュリティ機能や実装を個別に検証することができます。

記事作成時点ではベータ版Proton PassはiPhone/iPad、Android、デスクトップで利用可能。ブラウザ拡張機能はChromeとBraveで利用できます。Firefox版のアドオンも開発中だそうですが、リリース前に承認されなかったため、記事作成時点では利用不可だそうです。