Chromeを使ってWebサービスにログインすると、「パスワードを保存しますか?」というポップアップが表示される。
何となくOKを押して使い続けている人も多いのではないだろうか。
Google パスワードマネージャーは、Googleアカウントさえあれば追加費用なしで使えるパスワード管理機能だ。
2025年9月時点で日本国内のPCブラウザシェアの64.3%を占めるChromeに標準搭載されており、国内でも相当数のユーザーが意識せず使っていると考えられる。
結論から言えば、Googleパスワードマネージャーは「比較的」安全なツールだ。
そして多くの解説記事が触れていない、見落とされがちなリスクが3つ存在する。
1つ目はGoogleアカウントの乗っ取りによって、保存したすべてのパスワードとパスキーが一瞬で筒抜けになるリスクだ。
2つ目は何気ない写真をGoogleフォトに保存しただけでアカウントが突然BANされ、Gmail・Googleドライブ・YouTubeを含む全Googleサービスが警告なしで利用停止になるというリスクだ。
「自分は普通に使っているだけだから関係ない」と思っているなら、それは過信かもしれない。
そして3つ目は、2026年5月に公開されたばかりの新手の攻撃手法「VaultJacking」だ。
たった6桁の暗証番号を盗まれるだけで、Googleパスワードマネージャーに保存されたパスワードとパスキーの全体が奪取される可能性が実証されており、パスキーを使っているユーザーも影響を受ける。
本記事ではGoogleパスワードマネージャーの安全性の根拠を正直に示しつつ、上記3つのリスクを防御側の視点で整理する。
その上で「Googleパスワードマネージャーのままで問題ない人」と「乗り換えを真剣に検討すべき人」を明確に分けて解説する。
執筆者は情報処理安全確保支援士・応用情報技術者・情報セキュリティマネジメントといったIT系国家資格に合格し、Windows・Mac・iPhone・Androidの実機で検証を行っている。
Googleパスワードマネージャーとは何か
Googleパスワードマネージャーを知らない人のために、まずはGoogleパスワードマネージャーの基本について解説する。
知っていれば次のセクションまで読み飛ばしてもらって問題ない。
何ができるツールなのか
Googleパスワードマネージャーはその名のとおりGoogleアカウントに紐づいたパスワード管理機能だ。
主な機能は以下の4つだ。
パスワードの保存と自動入力
WebサービスにログインするたびにIDとパスワードを自動で保存し、次回以降のログイン時に自動入力してくれる。
パスワードの自動生成
新規登録時に、推測されにくい複雑なパスワードを自動生成する機能を備えている。
漏洩パスワードの自動検知(パスワードチェックアップ)
保存済みのパスワードが過去のデータ漏洩事件に含まれていないか、弱いパスワードや使い回しがないかを自動でチェックし、問題があれば警告を表示する。
パスキーの保存・管理
2023年以降、Googleパスワードマネージャーはパスキーの保存・管理にも対応している。
対応サービスでパスキーを登録すると、Googleパスワードマネージャーに自動保存される。
これらの機能がすべて無料で、Chromeをインストールすれば即座に使える状態になっている。
なぜ無料で使えるのか
「無料で使えるということは、何か裏があるのでは」と感じる人もいるだろう。
これは正直な疑問だ。
Googleパスワードマネージャーが無料である理由はGoogleのビジネスモデルにある。
Googleの主な収益源は広告だ。
ユーザーがChromeを使い続け、Googleアカウントにログインした状態でWebを閲覧するほどGoogleにはユーザーの情報が蓄積される。
その情報を基にGoogleは広告配信の精度を高められ、広告売上を上げられる。
特にパスワードマネージャーは日頃使うパスワードを管理するツールのため、一度使い始めたら他社に移行するのが手間になる。(「エクスポート機能」を使えば容易だが)
つまりGoogleパスワードマネージャーは、ユーザーを「Google経済圏」に留め続けるための投資として機能している。
そんなGoogleパスワードマネージャーでも、もちろん標準的なセキュリティは意識して設計されている。
例えばデータの保存時と転送中に使用されるパスワードは暗号化されている。
つまりGoogleパスワードマネージャーは「Googleがパスワード管理のコストを負担し、ユーザーはGoogleの広告で間接的に対価を払う」という構造だ。
無料であることは安全性の低さを意味しないが、「Googleというプラットフォームに依存する」という性質は理解しておく必要がある。
Googleパスワードマネージャーが「比較的」安全な理由
ここではGoogleパスワードマネージャーが「比較的」安全である理由をより詳しく解説する。
保存データは厳重に暗号化されている
Googleパスワードマネージャーに保存されたパスワードは、業界標準の暗号化方式であるAES-256によって保護されている。
AES-256は現時点で事実上解読不可能とされており、米国政府機関や金融機関でも採用されている暗号化規格だ。
保存したパスワードはGoogleのサーバーに送信される前にデバイス上で暗号化され、サーバー上でも暗号化された状態で保管される。
GoogleといえどもユーザーのパスワードをGoogleが平文(元のパスワード)で見ることはできない。
Googleのインフラ・セキュリティ体制
Googleパスワードマネージャーの安全性を支えているもうひとつの柱が、Googleという企業のセキュリティ体制そのものだ。
Googleは世界有数のセキュリティ研究チームである「Google Project Zero」を抱え、自社サービスの脆弱性を継続的に調査している。
外部の研究者がGoogleのサービスに脆弱性を発見・報告した場合に報奨金を支払う仕組み(バグバウンティプログラム)も運営しており、脆弱性の早期発見・修正に多大なリソースを投じている。
中小企業が独自に開発したパスワード管理ツールとは異なり、Googleほどの規模の企業が提供するサービスにはそれ相応のセキュリティ投資が背景にある。
漏洩パスワードの自動検知機能がある
Googleパスワードマネージャーに搭載されている機能の一つに「パスワードチェックアップ機能」がある。
これは過去に発生したデータ侵害で流出したパスワードのデータベースと、保存済みのパスワードを照合して警告を出す仕組みだ。
重要なのは、この照合がプライバシーに配慮した設計で行われている点だ。
Googleはパスワードの先頭数文字のハッシュ値(暗号みたいなもの)のみを照合に使うため、保存されたパスワードの全体をGoogleが把握する必要がない設計になっている。
この機能によって、「知らないうちに自分のパスワードが漏洩していた」という状況を早期に検知できる。
無料と有料のパスワードマネージャー、何が違うのか
Googleパスワードマネージャーのように無料で使えるツールもあれば、1Passwordのような月額400円程度の有料のツールも存在する。
ここではパスワードマネージャーの価格の差による機能や安全性の比較を行う。
Googleパスワードマネージャーにないセキュリティ機能
有料の専用パスワードマネージャーにはGoogleパスワードマネージャーが備えていない機能がいくつかある。
例えば緊急アクセス機能、共有機能、監査ログなどがある。
緊急アクセス機能は、自分がアクセスできなくなった際に信頼できる家族や同僚にパスワード保管庫へのアクセスを委任できる機能だ。
セキュアな共有機能は、パスワードを友人や家族といった信頼できる第三者を指定して安全に共有できる仕組みだ。
メッセージやメールでパスワードを平文(そのままの文字列)で送信するリスクを排除できる。
詳細な監査ログは、いつ・どのデバイスから・どのパスワードにアクセスがあったかを記録する機能だ。
不正アクセスの早期検知に役立つ。
一方でGoogleパスワードマネージャーにはこうした粒度の管理機能は提供されていない。
どういう人が無料のGoogleパスワードマネージャーで十分か
Googleパスワードマネージャーが向いているのは以下のすべてを満たすような人だ。
- 主にAndroidスマホとChromeで「Google経済圏」を完結させている。
- 管理するサービスの数が少ない
- 金融系サービスや仕事用アカウントをメインで扱わない。
「十分かどうか」はリスクを知った後に改めて考えるべき問題だ。
Googleパスワードマネージャーの見落とされがちな3つのリスク
ここからが本記事の核心だ。
Googleパスワードマネージャーは「比較的安全」ではある。
しかし、以下の3つのリスクはGoogleパスワードマネージャーという構造に起因するものになる。
ユーザー側の注意だけでは完全に防ぎきれない性質を持っている。
- Googleアカウントが乗っ取られたらすべてが筒抜けになる
- 心当たりがなくてもBANされることがある
- 2026年5月発覚「VaultJacking」攻撃
リスク① Googleアカウントが乗っ取られたらすべてが筒抜けになる
Googleパスワードマネージャーの安全性はGoogleアカウントそのものの安全性と完全に連動している。
Googleパスワードマネージャーの安全性はGoogleアカウント自体のセキュリティ強度と直結しており、アカウントが乗っ取られれば保存されたすべての認証情報が危険にさらされる。
イメージとしては、世界最高水準の金庫に入れた財産も、その金庫の鍵を奪われれば意味がない、という状況に近い。
Googleアカウントを狙う主な攻撃手法としては以下がある。
- 本物そっくりの偽ログイン画面でIDとパスワードを入力させるフィッシング攻撃
- 一度ログインした状態を維持するセッションクッキーを盗み取るセッションハイジャック
- 過去に別サービスから漏洩したID・パスワードを使い回すリスト型攻撃
問題はその被害の連鎖だ。
Googleアカウントが乗っ取られた瞬間、Googleパスワードマネージャーに保存されているすべてのサービスのパスワードが攻撃者の手に渡る。
さらにパスキーをGoogleパスワードマネージャーで管理している場合、そのパスキーも同様だ。
Gmail・Googleドライブ・YouTubeといったGoogleサービスへのアクセスを失うだけでなく、Googleパスワードマネージャーに登録していた銀行・証券・ECサイト・SNSすべてへの不正ログインが連鎖的に可能になる。
「強いパスワードと二段階認証を設定しているから大丈夫」という意見はある程度正しい。
しかし前述のフィッシング攻撃の中にはSMSによる二段階認証を突破できることが知られており、Googleアカウントへの攻撃に悪用された事例も報告されている。
この点は有料のパスワードマネージャーにしたからといってすべてのリスクを回避できるわけではない。
しかし、Googleは世界最大級のオンラインサービスであり、多くのユーザーのデータが管理されているため、攻撃者が熱量を持って攻撃を行っている。
その点で言えば、例えば有料のパスワードマネージャーを使う際にGoogleなどの他のサービスでは使っていないメールアドレスやパスワードを利用するなどの対処法により、一定の安全性を確保できる。
リスク② 心当たりがなくてもBANされることがある
これは多くの人が見落としている、Googleパスワードマネージャー最大の盲点だ。
Googleフォトに何気ない日常の写真をアップしただけで警告なしでBANされ、Gmail・Googleドライブ・YouTubeを含む全Googleサービスが利用停止になってしまう現象がSNS上で大きな注目を集めている。
これは「悪いことをした人の話」ではない。
実際に起きた事例を見ると、その多くが「普通の子育て記録」だ。
しかも日本でも起きている。
例えば娘の生後数日の沐浴動画などをGoogleフォトで管理していたところ、Googleのポリシー違反と判定されてアカウントがBANされた事例がある。
GmailやGoogleドライブが一時閉鎖され、YouTubeは完全に削除されてしまったという。
赤ちゃんのお風呂の記録が、機械的なAI判定によって「児童の性的虐待コンテンツ」とみなされたケースとなる。
また別の事例では、小児科医の指示に従って息子の患部の写真を撮影したところ、Googleフォトに自動同期されていたことで、アカウントが停止されたケースも報告されている。
さらに私的な目的でアニメや漫画の画像を保存していたところ、自動的にGoogleフォトに連携されて、著作権違反などの理由でBANされるケースもあるようだ。
当然ながら本人にはまったく悪意がない。
しかしアップロードされた瞬間にAIスキャンが走るため、気づいたときには既に手遅れ(アカウント停止済み)になる。
Googleへの異議申し立ては可能だが、復旧には数週間から数ヶ月を要するケースがあり、その間はGmailやパスワードマネージャーといったGoogle関連サービスも使えなくなる。
ここで重要なのが、パスキーとの連動だ。
パスキーとはGoogleパスワードマネージャーや1Passwordなどの専用のパスワード管理ツールに認証情報を保存し、生体認証などによってログインを行う方法だ。
最近注目されており、様々なサービスで導入が進んでいる。
Googleパスワードマネージャーでパスキーを管理している場合、GoogleアカウントがBANされた瞬間にGoogleパスワードマネージャーにアクセスできなくなる。
つまり、Googleパスワードマネージャーに登録していたすべてのサービスにパスキーでもパスワードでもログインできなくなるという事態が起こりうる。
銀行・証券・メインのSNS・仕事のツール…すべてが同時にアクセス不能になる。
「自分はそんな写真をGoogleフォトにあげない」という人でも安心はできない。
スマートフォンのカメラロールはGoogleフォトに自動同期されるよう設定されていることが多い。
つまり、本人が意図しないタイミングでアップロードが行われる可能性がある。
Googleはアメリカ発のサービスであり、児童保護に関する基準は日本の一般的な感覚とは大きく異なる。
その基準で動くAIが、日本の親の日常的な子育て記録を機械的に判定するという構造的なリスクは、現時点でも続いている。
一方で外部のパスワードマネージャーを使っていればこのリスクは避けられる。
例えば1Passwordでパスワードの管理を行っていれば、「Google関連サービスが停止する」という問題は避けられないものの、パスワードがわからなくなったり、パスキーが使えなくなることで、銀行やSNS、仕事のツールにアクセスできなくなるという事態にはならない。
リスク③ 2026年5月発覚「VaultJacking」攻撃:6桁PINで金庫ごと盗まれる
2026年5月、セキュリティ研究機関PhishUが「VaultJacking」と名付けた新しい攻撃手法を公開した。
これはGoogleパスワードマネージャーの構造的な設計を突いた攻撃であり、パスキーを使っているユーザーも例外ではない。
VaultJackingとは何か
VaultJackingはフィッシング攻撃の一種で、偽のGoogleログインの画面を通じて認証情報や、Googleパスワードマネージャーの6桁PIN(暗証番号)を取得する。
このPINが攻撃の中核となる。
通常のフィッシング攻撃はIDとパスワードを盗むことを目的とするが、VaultJackingはそれにとどまらない。
攻撃者は取得したPINを使い、自身の端末を被害者のGoogleアカウントの信頼済みの端末として登録する。
これにより、保存済みのパスワードやパスキー情報を含む認証情報を復号するできるようになり、保存済みのすべての認証情報が攻撃者の環境へ同期される。
かんたんに言うと、6桁の暗証番号をひとつ盗まれるだけで、Googleパスワードマネージャーの金庫ごと複製されるイメージだ。
パスキーを使っていても影響を受ける理由
「自分はパスキーを使っているからパスワードを盗まれても関係ない」と思っている人は要注意だ。
パスキー自体は直接のフィッシングに対しては安全を保っている。
しかし、VaultJackingはパスキーを個別に狙うのではなく、パスキーを含むすべての認証情報を同期・管理している「金庫」そのものを標的にすることで、パスキーのセキュリティ上の利点を迂回する。
パスキーの暗号設計自体は破られていない。
しかし「認証情報の金庫」を狙うことで、個別のサイトのパスキーをすべてまとめて奪取できてしまう。
パスワードからパスキーに移行しても、Googleパスワードマネージャーに保存している限りこのリスクから逃れられない点は、非常に重要な認識だ。
専門のパスワードマネージャーとの設計思想の違い
例えばAppleの「iCloudキーチェーン」という仕組みでは新規デバイスの登録に際して既存の信頼済み端末による明示的な承認が必要となる。
しかし、GoogleはPINのみで新規デバイスへの認証情報同期を許可している。
この設計思想の違いがVaultJacking攻撃を成立させる根本的な要因となっている。
つまりこれはユーザーの不注意だけが原因ではなく、Googleパスワードマネージャーの設計上の問題が指摘されている攻撃だ。
攻撃成功後の被害の広がり
この攻撃は自動化されている点が厄介だ。
攻撃者は窃取後に独自のパスキーを登録して永続的なアクセスを確保できる。
さらに深刻なのは、攻撃成功時も通知は「新しいログイン」や「新しいパスキー追加」メール程度でしか表示されない点だ。
メールアカウントも攻撃者に侵入されてメールを削除されれば痕跡を隠蔽できるため、気づけないケースもある。
3つのリスクを整理すると、共通する構造が見えてくる。
GoogleパスワードマネージャーはGoogleアカウントというひとつの核に、パスワード・パスキー・その他すべての認証情報を集中させる設計だ。
この「一点集中」こそがGoogleパスワードマネージャーの利便性の源泉であると同時に、最大のリスクの根本原因でもある。
乗っ取り・BAN・VaultJacking。
いずれもGoogleアカウントへの依存度の高さが被害を増幅させる構造になっている。
Googleパスワードマネージャーを使い続けていい人・乗り換えを検討すべき人
3つのリスクを踏まえた上で、改めて「自分はGoogleパスワードマネージャーを使い続けていいのか」という問いに率直に答える。
必ずしもGoogleパスワードマネージャーが悪いわけではないため、あなたの状況に応じて公平に判断できるよう整理した。
Googleパスワードマネージャーのままで問題ない人
以下の条件にすべて当てはまる人は、現時点でGoogleパスワードマネージャーを使い続けることに大きな問題はないと考えられる。
管理しているサービスが少なく、金融系アカウントを含まない
Googleパスワードマネージャーに保存しているのがSNSや動画サービス程度で、銀行・証券・クレジットカードといった金融系サービスのパスワードやパスキーを保存していない場合、万が一の被害は限定的だ。
AndroidスマホとChromeでGoogle経済圏を完結させている
使うデバイスがAndroidスマホとChromeのみで、iPhoneやWindows・Macとの併用がない場合、Googleパスワードマネージャーは最もシームレスに機能する。
複数のデバイスをまたぐ管理の煩雑さが生じにくい状況ではGoogleパスワードマネージャーの利便性は高い。
Googleフォトに子どもや誰かの写真を同期していない・今後もしない
BANリスクのトリガーとして最も報告が多いのがGoogleフォトへの自動同期だ。
特に子どもの写真やアニメなどの外部の著作権者の画像によりアカウントがBANされるケースが多い。
カメラロールの自動バックアップをオフにしており、そういった写真や画像を一切Googleに預けていない場合はBANリスクを大幅に下げられる。
3つのリスクを理解した上で使っている
先ほど解説したリスクを把握した上で「それでも利便性を優先する」という判断は合理的だ。
知らずに使い続けることと、リスクを理解した上で選択することは本質的に異なる。
本記事を読んだ時点で、少なくとも「知らずに使っている」状態は脱している。
乗り換えを真剣に検討すべき人
以下のいずれかに当てはまる場合、Googleパスワードマネージャーへの依存を見直すことを強く勧める。
金融系のパスワードやパスキーをGoogleパスワードマネージャーで管理している
金融系のサービスへの不正アクセスは直接的な金銭被害に直結する。
例えば銀行・証券・クレジットカードのマイページのログイン情報が当てはまる。
少し前にはなるが、2025年初頭には国内の証券口座を狙ったサイバー攻撃で不正取引被害が急増した。
Googleパスワードマネージャーが乗っ取られた場合のリスクが最も大きいのがこのケースだ。
パスワードだけでなくパスキーもGoogleパスワードマネージャーに預けている場合、先ほど解説した「VaultJacking攻撃」の影響も受けうる。
Googleフォトにカメラロールを自動同期している
スマートフォンのデフォルト設定ではGoogleフォトへの自動同期がオンになっているケースが多い。
子どもがいる家庭では特に注意が必要で、意図せずBANのトリガーとなるコンテンツがアップロードされるリスクがある。
Googleパスワードマネージャーでパスキーを管理している場合、BANと同時にすべてのログインが不能になる連鎖リスクは非常に現実的だ。
WindowsとMac、スマホなど複数のデバイスを使い分けている
GoogleパスワードマネージャーはChromeとAndroidとの親和性が高い一方、iPhoneやSafariとの連携には制限がある。
複数のOSをまたいで使う環境では、デバイスによってパスキーやパスワードが使えたり使えなかったりという状況が発生しやすい。
管理の一貫性を保つのが難しくなる。
仕事用のアカウントや重要なビジネスツールをGoogleパスワードマネージャーで管理している
個人のGoogleアカウントにビジネス上の重要な認証情報を預けることは、プライベートの問題がビジネスに波及するリスクをはらんでいる。
例えばプライベートで使っているGoogleフォトでBANが発生した場合、同じアカウントに保存した仕事用のパスワードも同時にアクセス不能になる。
「Googleアカウントひとつに集中しすぎている」と感じている人
Gmail・Googleドライブ・Googleカレンダー・YouTube・Googleパスワードマネージャーをすべて同じGoogleアカウントで運用している人も多いだろう。
この場合、そのアカウントが何らかの理由で停止されると、生活に支障が出かねない。
特にGoogleパスワードマネージャーは他社のログイン情報を管理しているため、金融系サービスや仕事系のサービスにログインできなくなったときのリスクは非常に大きい。
このリスクに不安を感じるなら、認証情報の管理だけでも別のツールに分散させることが現実的なリスクヘッジになる。
「使い続けつつ、リスクを分散する」という選択肢
「Googleパスワードマネージャーをやめる決断はできないが、リスクも気になる」という人がほとんどだろう。
そのような場合、Googleパスワードマネージャーを完全にやめる必要はない。
具体的には、金融系サービスや仕事用アカウントなど「もし使えなくなったら困る度合いが高いもの」から順に、Googleアカウントに依存しない別のツールへ移していくという段階的なアプローチが現実的だ。
ちなみにGoogleパスワードマネージャーには「エクスポート(出力)機能」というものが存在する。
また、1Passwordのような外部のパスワードマネージャーには「インポート(入力)機能」が標準的に用意されている。
つまり、Googleパスワードマネージャーのデータをエクスポート機能ですべて出力し、1Passwordのインポート機能で入れれば数分ですべてのパスワードを移行できる。
いちいちすべてのサイトのログイン情報を手で移行する必要はない。
日常的なSNSや動画サービスはGoogleパスワードマネージャーのまま、重要度の高いサービスは専用のパスワードマネージャーで管理するという二段構えの運用も有効だ。
完璧な移行でなくとも、重要なアカウントをGoogleアカウントの外に出すだけで、BAN・乗っ取り・VaultJackingの3つのリスクを大幅に軽減できる。
この「リスク分散」の現実的な選択肢として、次のセクションで1Passwordを紹介する。
1Passwordがリスク分散の現実解になる理由
Googleパスワードマネージャーの3つのリスクの根本にあるのは「Googleアカウントへの一点集中」だと整理した。
この問題を解消するには、認証情報の管理をGoogleの外に出すことが必要だ。
その選択肢として1Passwordを紹介する。
本セクションでは、Googleパスワードマネージャーの3つのリスクそれぞれに対して1Passwordがどう対応しているかを具体的に示す形で解説していく。
「ゼロ知識暗号化」で他人に中身が見られない
1Passwordは「ゼロ知識暗号化」を採用している。
この言葉は覚える必要はないが、かんたんに言うと「サービス提供者にユーザーのデータを見られない設計」のことだ。
1Passwordでは保存したパスワードやパスキーはユーザーのデバイス上でマスターパスワードとSecretKeyと呼ばれる固有の認証情報を使って暗号化されてからサーバーに送られる。
つまり1Password社の従業員であっても、法的要請があったとしても、保管庫の中身にアクセスすることは原理的にできない。
Googleパスワードマネージャーが「Googleという管理者に鍵を預けている構造」であるのに対し、1Passwordは「鍵はユーザーだけが持つ構造」だ。
特に有効なのがVaultJacking攻撃だ。
VaultJacking攻撃はGoogleパスワードマネージャー固有の仕組みを悪用した攻撃だ。
1Passwordはそもそもこの設計が異なるため、同様の攻撃手法が成立しない。
Googleアカウントに依存しない独立した管理ができる
1Passwordの認証情報は1Password社のサーバーに保存され、1Passwordアカウントで管理される。
GoogleアカウントともApple IDとも完全に独立している。
これが意味するのは以下の通りだ。
Googleアカウントが乗っ取られても、1Passwordの保管庫は影響を受けない。
GoogleフォトのBANでGoogleアカウントが停止されても、1Passwordに保存したパスワードとパスキーは引き続き使える。
GoogleアカウントのVaultJacking攻撃が発生しても、1Passwordの保管庫は別の暗号化基盤で守られているため無関係だ。
Googleのサービスは引き続き使いつつ、認証情報の管理だけをGoogleの外に出す。
これが「リスク分散」の実態だ。
パスキーとパスワードをひとつの保管庫で一元管理できる
1Passwordはパスワードの管理だけでなく、パスキーの保存・管理・自動入力にも対応している。
つまり「パスキー対応サービスのパスキー」と「まだパスワード認証のサービスのパスワード」を、1Passwordひとつで一元管理できる。
実際の使い勝手としては、ChromeやEdge・Safari・Firefoxに1Passwordのブラウザ拡張機能をインストールするだけだ。
しかもパソコンでパスキーを使う場合でもスマホの操作は要らず、パソコン単体で完結する点も非常に便利な点になる。
1Passwordのブラウザ拡張機能を使えば、パスキーログイン時にスマホを出す必要もBluetoothを使う必要もない。
Googleパスワードマネージャーのクロスデバイス認証で感じる煩雑さも同時に解消できる。
対応プラットフォームはWindows・Mac・iOS・Androidとブラウザすべてに対応している。
そのため、複数のデバイスやOSをまたいでも同一の保管庫を共有できる。
GoogleパスワードマネージャーがChromeとAndroidに偏っているのとは対照的に、環境を問わない一元管理が実現する。
| Google パスワードマネージャー | 1Password | |
|---|---|---|
| 料金 | 無料 | 有料 |
| 暗号化方式 | AES-256 (+ ゼロ知識暗号化?) | AES-256 + ゼロ知識暗号化 |
| Googleアカウントへの依存 | 完全依存 | 独立 |
| BANリスクの影響 | 認証情報すべてに アクセス不能 | 影響なし |
| VaultJacking攻撃 | 影響あり | 影響なし |
| パスキー管理 | 対応 | 対応 |
| 対応プラットフォーム | Chrome・Android中心 | 全プラットフォーム完全対応 |
| クロスデバイス認証 | Bluetooth・QR必要な場合あり | 拡張機能のみで完結 |
| ゼロ知識暗号化 | なし? | あり |
ただし、1Passwordは海外のサービスのため、基本的には米ドルでの決済となる。
しかし、日本国内では上場企業であるソースネクストが代理店となっており、日本円かつ日本語サポート付きで購入できる。
しかも公式サイトより15〜30%程度安く購入できるのも大きな魅力だ。
Googleパスワードマネージャーと比べると「有料」という点は一番のデメリットと言える。
一方で、Googleパスワードマネージャーを使い続けて万が一の事態に陥ったときのリスクも非常に大きい。
この2つを天秤にかけたときに、1Passwordを使うことで1ヶ月あたり400円程度でリスクを回避できると考えればそれほど高くは無いだろう。
Googleパスワードマネージャーの3つのリスクのうちひとつでも「自分には関係ある」と感じたなら、導入を検討する価値があると筆者は考える。
まとめ
本記事ではGoogleパスワードマネージャーの安全性の根拠と、見落とされがちな3つのリスクを順を追って解説してきた。
最後に要点を整理する。
Googleパスワードマネージャーは「比較的安全」だが「絶対安全」ではない
Googleパスワードマネージャーは業界標準の暗号化・Googleの強固なインフラ・漏洩パスワードの自動検知といった点で、無料ツールとして十分な水準のセキュリティを備えている。
「Chromeを使っていてGoogleパスワードマネージャーに自動保存されている」程度の使い方であれば、即座に問題が起きるわけではない。
しかし本記事で示した3つのリスクは、いずれもユーザー側の注意だけでは完全に防ぎきれない構造的な問題だ。
改めて整理すると以下のようになる。
リスク① Googleアカウントの乗っ取り
Googleアカウントひとつが突破された瞬間、Googleパスワードマネージャーに保存したすべてのパスワードとパスキーが攻撃者の手に渡る。
二段階認証を設定していても高度なフィッシング攻撃には限界がある。
リスク② Googleアカウントの突然のBAN
自分の子どもの沐浴やお風呂の写真をGoogleフォトにアップするだけで警告なしに一発BANされ、Gmail・Googleドライブ・YouTubeを含む全サービスが利用停止になるケースが報告されている。
「自分は普通に使っているから大丈夫」という思い込みが最大のリスクだ。
Googleパスワードマネージャーでパスキーを管理している場合、BANと同時にすべてのサービスへのログインが不能になる連鎖が起きうる。
リスク③ VaultJacking攻撃
2026年5月に公開されたVaultJacking攻撃は、Googleパスワードマネージャーの6桁の暗証番号を盗むだけで保存済みパスワードとパスキー全体を奪取できる攻撃であり、パスキー利用者も影響を受ける。
Googleパスワードマネージャーの設計上の問題を突いた攻撃であるため、Googleパスワードマネージャー上でパスキーに移行するだけでは対策にならない。
「やめる」より「分散する」が現実的
Googleパスワードマネージャーを今日から完全にやめる必要はない。
重要なのはGoogleアカウントへの一点集中を解消することだ。
まず自分のGoogleパスワードマネージャーに何が保存されているかを確認してほしい。
銀行・証券・クレジットカードなど金融系サービスの認証情報が含まれているなら、そこから優先的に別のツールへ移すことを検討してほしい。
日常的なSNSや動画サービスはGoogleパスワードマネージャーのままでも構わない。
段階的な移行で十分だ。
その「分散先」として1Passwordは現時点での現実的な最善策だ。
ゼロ知識暗号化によりGoogleにも1Password社にも中身が見えず、Googleアカウントとは完全に独立しているため、BANや乗っ取りやVaultJackingの影響を受けにくい。
パスワードとパスキーを一元管理でき、全プラットフォームで使える点も実用上の強みだ。
セキュリティ対策の基本は「ひとつのカゴにすべての卵を入れない」ことだ。
Googleパスワードマネージャーという便利なカゴを使いながら、重要な卵だけを別のカゴに分けておく。
その別のカゴとして、1Passwordを検討してほしい。
1PasswordはソースネクストのWebサイトから日本円かつ日本語サポート付きで、公式サイトより15〜30%程度安く購入できる。
参考文献
- Google「Chrome でのパスワード保護の仕組み」https://support.google.com/chrome/answer/10311524?hl=ja
- Keeper Security「Googleパスワードマネージャーはどれだけ信頼できる?」https://www.keepersecurity.com/blog/ja/2025/10/03/is-google-password-manager-safe/
- PhishU「Vaultjacking: One Captured PIN, the Entire Google Password Manager Vault」https://phishu.net/blogs/blog-vaultjacking-phishing-the-google-password-manager-vault-in-the-phishu-framework.html
- GBHackers「VaultJacking Attack Exposes Google Password Vaults via Single PIN」https://gbhackers.com/google-password-vaults-via-single-pin/
- Cyber Security News「VaultJacking Attack Steals Entire Google Password Manager Vault With One Captured PIN」https://cybersecuritynews.com/vaultjacking-attack-steals-entire-google-password-manager/
- 神戸新聞「思い出の写真をアップ→Googleフォト一発BAN&全Googleサービス利用停止」https://www.kobe-np.co.jp/rentoku/omoshiro/202303/0016170888.shtml
- note・沖田純之介「Googleアカウントがポリシー違反でBANされて、4ヶ月経って戻って来た話」https://note.com/okidesign/n/n0dc05bce51bd
- StatCounter「Desktop Browser Market Share Japan」https://gs.statcounter.com/browser-market-share/desktop/japan
- フィッシング対策協議会「フィッシングレポート2025」https://www.antiphishing.jp/report/phishing_report_2025.pdf
