セキュリティ専門家が、長年にわたり明確に示してきた助言がある。「パスワードマネージャーを使え」ということだ。そして、このアドバイスは今なお有効だ。 市場の主要企業の1社であるBitwarden(ビットワーデン)が、深刻なセキュリティインシデントを認め、その結果として侵害された製品が短期間ながら配布されるに至ったというニュースが流れたにもかかわらず、である。
今回問題となったのは、npm(Node Package Manager)経由で配布されたBitwarden CLIの悪意あるバージョンだ(編注:Bitwarden CLIは、コマンドラインインターフェース版を指す。ターミナル[コマンドプロンプト]から操作するBitwardenクライアント)。インストールすると認証情報を窃取するペイロードが組み込まれていた。Bitwardenは一連のnpmパッケージのサプライチェーン侵害の最新事例となってしまったわけだ。ただし、Bitwardenパスワードマネージャー利用者の大多数にとって、空が落ちてきたわけではなく、パニックになる必要もない。
Bitwarden攻撃の真相
Bitwardenがセキュリティインシデントを認めたというニュースを受け、ソーシャルメディアでは(おそらく避けがたい)過熱した反応が広がった。しかし事実関係としては、利用者の大多数は実際には何の対応も不要だ。極めて深刻であることは確かだが、これでパスワードマネージャーという仕組みが終わるわけではない。
もちろん、パスワードマネージャーをめぐるセキュリティインシデントが利用者の信頼に与える打撃を軽視するつもりは毛頭ない。とはいえ、本件はパスワードマネージャー利用者を狙う新たなフィッシング攻撃などではなく、それよりはるかに悪質な事案である。だからこそ、感情に流されず事実に焦点を当てることが肝要なのだ。
今回影響を受けたのはBitwarden CLIのユーザーに限られる
まず、今回インシデントの影響を受けたのはBitwarden CLI製品のユーザーに限られ、パスワードマネージャーのアプリ本体ではない。CLIとはコマンドラインインターフェース、すなわちターミナル版のBitwardenである。これだけで、主要製品の推定利用者数である約1000万人から大幅に対象が絞られる。公式統計は確認できなかったが、OX Securityの分析によれば、Bitwarden CLIのnpmパッケージのダウンロード数は月間約25万件程度だという。
悪意あるバージョンをダウンロードしたユーザーは、334人
それでも相当な数だ。そこで事実の2つ目に移る。Bitwardenは声明において、「より広範なCheckmarxのサプライチェーンインシデントに関連して、米東部時間2026年4月22日午後5時57分から午後7時30分までの間、npmの配信経路を通じて短時間配布された@bitwarden/cli@2026.4.0の悪意あるパッケージを特定し、封じ込めた」と確認した。さらに文脈を補うと、Bitwardenのコミュニティフォーラムのモデレーターによれば、配布されていた時間帯に悪意あるCLIバージョンをダウンロードしたのは「334人のBitwardenユーザーだけのようだ」という。
パスワードなどを収めたボルト(保管庫)データの侵害を示す証拠はない
Bitwardenの広報担当者は次のように述べた。「調査の結果、エンドユーザーのボルト(保管庫)データにアクセスがあった、またはリスクにさらされたこと、あるいは本番データや本番システムが侵害されたことを示す証拠は見つからなかった。問題を検知した後、侵害されたアクセス権を取り消し、悪意あるnpmリリースを非推奨とし、修復手順を直ちに開始した。問題は、限定された時間帯におけるCLIのnpm配布メカニズムに影響したものであり、正規のBitwarden CLIコードベースの完全性や、保管されているボルトデータの完全性に影響したものではない」。
ダウンロードしていた場合の対応方法
先に挙げた数百人のうちに含まれていないのであれば、安心してよい。パスワードは安全だ。だが、もしダウンロードしていた場合、Bitwardenは次の対応を推奨している。
・npm経由でBitwarden CLI 2026.4.0をアンインストールする
・npmキャッシュをクリアする
・念のためクリーンアップ作業中はnpmインストールスクリプトを無効化する
・APIトークンやSSH鍵を含め、影響を受けたシステム上で露出した可能性のある、または環境変数に保存されているシークレットをすべてローテーションする
・最後にBitwarden CLI 2026.4.1をインストールする
