2026年4月以降、そういった相談を受ける機会がぐっと増えました。Bitwardenに関する複数のセキュリティニュースが立て続けに報じられ、ユーザーの間に不安が広がったのは事実です。
正直なところ、私も最初にそのニュースを見たときは一瞬ドキッとしました。毎日使っているパスワードマネージャーが「攻撃を受けた」と聞けば、誰でも焦りますよね。
結論から先にお伝えします。デスクトップアプリとブラウザ拡張を使っている一般ユーザーへの直接的な影響は確認されていません。そしてBitwardenのゼロ知識設計は、今も有効に機能しています。
ただ「大丈夫です」と言い切るだけでは不誠実ですし、何が起きたのかを理解しておくことはセキュリティを考える上でも重要です。
この記事では2026年のインシデントの実態を事実に基づいて整理し、Bitwardenを今後も使い続けるかどうかの評価を整理します。
この記事でわかること
- 2026年4月のCLIサプライチェーン攻撃の実態と影響範囲
- 2026年3月のETH Zürich監査で見つかった脆弱性と対応状況
- デスクトップアプリ・ブラウザ拡張ユーザーへの影響がなかった理由
- Bitwardenのゼロ知識設計が今も有効かどうか
- 今後もBitwardenを使い続けるか、他のサービスに乗り換えるかの判断基準
2026年、Bitwardenに何が起きたのか
まず事実関係を整理しておきましょう。2026年の前半、Bitwardenに関するセキュリティ上のできごとが2件ありました。
①2026年4月:CLIパッケージへのサプライチェーン攻撃
2026年4月23日、Bitwardenが提供するCLI(コマンドラインインターフェース)向けのnpmパッケージ「@bitwarden/cli」に、悪意あるコードが混入していたことが判明しました。
攻撃手法は「サプライチェーン攻撃」と呼ばれるものです。GitHubのCI/CDパイプライン(GitHub Actions)を経由して、パッケージのビルドプロセスに不正なコードが挿入されました。この手法は近年増加しており、SolarWindsやLog4jの事例でも話題になったアプローチです。
重要なのは、この攻撃が影響したのは「CLIパッケージ」のみであり、デスクトップアプリ・ブラウザ拡張・モバイルアプリは完全に別のパッケージとして管理されており、影響を受けていないことです。
Bitwarden社は攻撃を検知後、即日対応を実施、汚染されたバージョンを削除し、クリーンなバージョンに置換するとともに、インシデントレポートを公開しました。
GIGAZINEやGMO Flat Security Blogでも詳細な技術的分析が報告されています。
GIGAZINE:パスワードマネージャーのBitwardenがサプライチェーン攻撃を受ける、npmパッケージを使っていた人は要確認
GMO Flat Security Blog:Bitwarden ソフトウェアサプライチェーン攻撃の概要と対応指針
②2026年3月:ETH Zürichによる独立監査と脆弱性修正
もう一つのニュースは、スイス連邦工科大学チューリッヒ校(ETH Zürich)が実施したBitwardenのセキュリティ監査です。この監査で合計12件の脆弱性が発見され、Bitwardenはそれらへの対応を完了しました。
ETH Zürichはコンピュータサイエンスの世界ランキングで常にトップ10に入る研究機関であり、その監査は高い信頼性を持ちます。
これを「脆弱性があった=危ない」と受け取る方もいますが、実際には全くそんなことがありません。
独立監査が実施され、問題が発見され、修正が完了し、結果が公開されたという事実はセキュリティプロセスとして正しいものです。監査を受けず問題を非公開にしているサービスよりも、透明性という観点ではむしろ信頼に値します。
一般ユーザーへの影響
「ニュースを見て不安になった」という方の多くは、ブラウザ拡張かスマホアプリでBitwardenを使っているはずです。
そうした一般的な使い方をしているユーザーへの影響を整理します。
2026年インシデントの影響範囲まとめ:
- CLIパッケージ(@bitwarden/cli)利用者:影響を受けた可能性あり。汚染バージョンの確認と更新が必要
- ブラウザ拡張(Chrome/Firefox/Safari等)利用者:影響なし
- デスクトップアプリ利用者:影響なし
- モバイルアプリ(iOS/Android)利用者:影響なし
- Webブラウザ経由(vault.bitwarden.com)利用者:影響なし
デスクトップアプリとブラウザ拡張はCLIパッケージとは独立してビルド・配布されています。CLIパッケージへの汚染がブラウザ拡張やアプリのコードに波及する経路はなく、保存されているパスワードのデータが第三者に閲覧された証拠もありません。
ETH Zürichの監査で発見された脆弱性については、Bitwardenが修正を完了しています。現時点でパッチが適用されていない既知の脆弱性は残っていない状態です。
Bitwardenのセキュリティ設計は今も有効か
2026年のインシデントを経ても、Bitwardenの根本的なセキュリティ設計は変わっていません。
Bitwardenにおける高セキュリティを実現する3つの要素を改めて以下に整理しておきます。
ゼロ知識設計(エンドツーエンド暗号化)
Bitwardenは「ゼロ知識設計(Zero Knowledge Architecture)」を採用しています。これは、パスワードの暗号化と復号がユーザーのデバイス上のみで行われ、Bitwarden社のサーバーには暗号化された状態のデータしか送られないという仕組みです。
つまり、Bitwarden社のサーバーがハッキングされたとしても、攻撃者が入手できるのは「暗号化された文字列」のみです。マスターパスワードがない限り、そのデータから元のパスワードを復元することは事実上不可能です。
CLIパッケージへの攻撃でも、この仕組みは変わりません。保存されているパスワードデータ自体は、マスターパスワードなしには誰も読めない状態のまま維持されています。
オープンソースという透明性
Bitwardenは、パスワードマネージャーの中でも数少ない「完全オープンソース」のサービスです。サーバー側のコードも含め、ほぼすべてのコードがGitHubで公開されています。
Screenshot
これが意味するのは、「Bitwarden社の言葉を信じるしかない」という状況ではないということです。
独立した研究者が実際のコードを読んで検証できるため、「公言していた設計と実装が違う」という事態が起きにくい構造になっています。
実際にはセキュリティ研究者などがBitwardenを対象にした研究を日夜行っており、セキュリティレベルの確認や必要に応じてセキュリティ修正が行われています。
Measuring the Prevalence of Password Manager Issues Using In-Situ Experiments
Screenshot
独立監査の継続実績
ETH Zürichによる2026年3月の監査に加え、Bitwardenはこれまでも複数の独立したセキュリティ監査を受けています。監査機関にはCure53(ドイツのセキュリティ企業)なども含まれます。
独立監査の実施と結果公開は、パスワードマネージャーを選ぶ上での重要な基準の一つです。この点でBitwardenは業界でも高い透明性を維持しています。
Bitwardenを続けるべき?乗り換えるべき?
今回のインシデント事案の情報を踏まえた上で、「自分はどうすべきか」の判断基準をお伝えします。
Bitwardenをそのまま使い続けてよいケース
以下に当てはまる方は、引き続きBitwardenを使い続けて問題ありません。
- ブラウザ拡張・デスクトップアプリ・スマホアプリで利用している
- CLIパッケージ(
@bitwarden/cli)を利用していない - アプリとブラウザ拡張を常に最新バージョンに更新している
- 強力なマスターパスワードと二段階認証を設定している
- 無料で使えるオープンソースのパスワードマネージャーを求めている
Bitwardenは無料プランでも複数デバイス同期が可能な数少ないサービスです。費用対効果を重視する方にとって、今もBitwardenは有力な選択肢の一つです。
NordPassや1Passwordへの乗り換えを検討してよいケース
一方、以下のような方は、乗り換えを検討する合理的な理由があります。
- 今回のニュースを機に「より商業サポートが充実したサービスを使いたい」と感じた方
- 家族やチームとパスワードを共有したい方(NordPassや1Passwordの共有機能が優れています)
- UIのわかりやすさや日本語サポートを重視する方
- Travel Modeなど高度なセキュリティ機能が必要な方
NordPassは独立系のセキュリティ企業Nord Securityが開発しており、Cure53による独立監査も定期的に受けています。XChaCha20という最新の暗号化アルゴリズムを採用し、ゼロ知識設計を維持しています。NordPassの詳細レビューはこちらからご覧いただけます。
1Passwordは有料専用(14日間無料トライアルあり)ですが、Travel Modeや高度な共有機能など、ビジネス・家族ユースに強みがあります。1Passwordの料金プランの詳細はこちらで解説しています。
どのサービスも一長一短があります。Bitwarden・NordPass・1Passwordの比較を詳しく知りたい方は、比較記事も参考にしてください。
よくある質問
最後にBitwardenのインシデント、セキュリティ事故に関連してよくある質問をまとめておきます。
Q. 2026年の攻撃でパスワードが流出した可能性はありますか?
A. ブラウザ拡張・デスクトップアプリ・モバイルアプリを使っていた場合、パスワードが流出した可能性はありません。CLIパッケージの汚染はCLIツール利用者のみに影響し、かつゼロ知識設計により、仮に攻撃者がサーバーにアクセスしたとしても暗号化されたデータしか取得できない構造です。
Q. CLIパッケージを使っていた場合はどうすればよいですか?
A. 汚染された期間(2026年4月23日前後の特定バージョン)のCLIを利用していた方は、Bitwardenの公式インシデントレポートを確認し、マスターパスワードの変更と二段階認証の見直しを行うことをお勧めします。また、Bitwardenサポートへの問い合わせも可能です。
Q. ETH Zürichの監査で12件の脆弱性が見つかったことは深刻ではないですか?
A. 数だけ見ると多く感じるかもしれませんが、脆弱性の重大度と修正状況が重要です。Bitwardenはすべての脆弱性への対応を完了し、修正済みのレポートを公開しています。
また、定期的な独立監査を受けてその結果を公開すること自体が、業界内では信頼性の高さを示す行動です。監査を受けていないサービスが「安全です」と自称する状況よりも、透明性が高いと言えます。
Q. 二段階認証を設定していれば、マスターパスワードが漏れても安全ですか?
A. 二段階認証は非常に有効な対策です。マスターパスワードが仮に漏洩しても、二段階認証が設定されていれば攻撃者が新しいデバイスからログインするのを防げます。ただし、すでにログイン済みのデバイスを盗まれた場合は別の対策が必要です。マスターパスワードは十分に長く複雑なものを設定し、定期的に変更することも検討してください。
Q. Bitwardenの無料プランとNordPassの無料プラン、どちらが優れていますか?
A. 機能の多さではBitwardenが優れています。Bitwarden無料プランは複数デバイス同期が可能ですが、NordPassの無料プランは1デバイスのみです。
ただしNordPassの有料プランはリーズナブルで、DataBreachスキャン・セキュアパスワード共有・緊急アクセスなどの機能が追加されます。どちらもゼロ知識設計であり、基本的な安全性は同水準です。
Q. Bitwarden以外でオープンソースのパスワードマネージャーはありますか?
A. KeePassDXやVaultwardenなどがあります。ただしこれらはセルフホスト型が多く、設定の手間が大きい傾向があります。一般ユーザーにとっては、Bitwardenが「オープンソース + クラウド同期」のバランスが最もとれた選択肢です。
まとめ
2026年のBitwardenに関するニュースを整理すると、一般ユーザーが直接影響を受けた事実は確認されていません。CLIサプライチェーン攻撃の影響は開発者向けCLIツールのみに限定され、ETH Zürichの監査で発見された脆弱性はすべて修正済みです。
| あなたの状況 | 推奨アクション | 理由 |
|---|---|---|
| ブラウザ拡張・アプリで利用中、CLIは使っていない | 引き続きBitwardenを使用 | 直接影響なし。無料で高機能なため変える必要なし |
| CLIパッケージも利用していた | 公式レポート確認+MPW変更 | 汚染バージョンの確認が必要 |
| 今回の件で有料の安心感を求めたい | NordPassへの乗り換えを検討 | 定期監査済み、日本語サポートあり、無料から始められる |
| Travel Modeや高度な共有機能が必要 | 1Passwordへの乗り換えを検討 | 業務・家族共有ユースで高機能 |
パスワードマネージャーの安全性を判断する上で大切なのは、「インシデントがあったかどうか」ではなく、「そのインシデントへの対応が透明で迅速だったかどうか」です。
Bitwardenは今回の件で、オープンソースコミュニティと協力してインシデントを公開・対応するという誠実な姿勢を示しました。
パスワードマネージャーのリスク全般については別記事でも解説しています。より安全な使い方を知りたい方はあわせてご覧ください。
コメント