筆者がHave I Been Pwnedで自分のメールアドレスを検索した日のことは、今でもはっきり覚えている。2019年のWebサービス漏洩事件にヒットした。すぐにChromeの保存パスワード一覧を開いたら128件。うち23件が同じパスワードの使い回しだった。

iCloudキーチェーンにも47件が別途保存されていた。重複の有無すら把握できない。これは管理ではない。放置だ。

その日のうちに専用のパスワードマネージャーを契約し、全サービスのパスワードをランダム生成に切り替えた。半日かかったが、あの半日がなければ漏洩パスワードが芋づる式に他のサービスへ波及していた可能性がある。同じ状況に心当たりがあるなら、この記事の手順で一本化してしまうのが最も確実だ。

ブラウザ任せのパスワード管理はどこで破綻するのか

結論から言う。ChromeのGoogleパスワードマネージャーもiCloudキーチェーンも、単独のエコシステム内で完結するなら十分に機能する。だが、ほとんどの人はChromeとSafariを併用しているのが現実である。

Googleパスワードマネージャーの同期範囲はChrome・Android間だ。iCloudキーチェーンの同期範囲はSafari・iPhone・Mac間。この2つは相互に同期しない。WindowsのChromeで保存したパスワードはiPhoneのSafariには反映されないし、逆も同じである。

SIer時代に、バックアップテープを5年間取り続けていたプロジェクトで復元が必要になったことがある。テープドライブ自体が壊れていて、1本も読み出せなかった。バックアップは「取る」のが目的ではなく「戻せる」のが目的だ。パスワードも構造は同じで、「どこかに保存してある」と「いつでも取り出せる」はまったく別の話である。どちらのブラウザに保存したか分からない時点で、すでに取り出せない。

加えて、Googleパスワードマネージャーには2026年7月時点で以下の制約が確認されている。

  • ゼロナレッジ暗号化(サービス提供者側も復号できない設計)がデフォルトではない。Hideezの調査によれば、Googleは法的要請やアカウント復旧のためにパスワードを復号できる設計を維持している
  • パスキーの保存は可能だが、Apple・Google・Microsoft間のクロスプラットフォーム同期には非対応
  • TOTP(ワンタイムパスワード)コードの一元管理機能がない

iCloudキーチェーンも、Appleエコシステム外との連携はiCloud for Windows経由に限られ、Androidには非対応だ。

Chromeからパスワードをエクスポートする手順

GoogleパスワードマネージャーのエクスポートはCSV形式で出力される。平文だ。暗号化は一切されない。このファイルが流出すれば、保存していた全パスワードが一度に漏洩する。作業は必ず信頼できる自宅のPCで行い、移行完了後に即削除すること。

  1. Chromeのアドレスバーに chrome://password-manager/settings と入力してEnterを押す
  2. 「パスワードをエクスポート」の項目を探し、「ファイルをダウンロード」をクリックする
  3. OSのパスワード認証(WindowsならWindows Hello、MacならTouch ID)を求められるので認証する
  4. CSVファイルがダウンロードフォルダに保存される

公式の手順はChromeヘルプ「パスワードとパスキーをインポートまたはエクスポートする」に記載がある。ダウンロードしたCSVは絶対にクラウドストレージ(Googleドライブ・Dropbox・OneDrive等)に保存しないこと。クラウドに同期された瞬間、そのサービスのサーバーにも平文パスワードのコピーが置かれることになる。

iCloudキーチェーンからパスワードをエクスポートする手順

iCloudキーチェーンのエクスポートは、iPhoneまたはMacのどちらからでも実行できる。出力形式はChromeと同じくCSV(平文)だ。

iPhoneの場合(iOS 18以降):

  1. 「設定」アプリを開く
  2. 「パスワード」をタップする(iOS 26では設定トップから直接アクセスできる)
  3. Face IDまたはTouch IDで認証する
  4. 画面右下の「…」メニューから「パスワードを書き出す」を選択する
  5. 保存先を「"ファイル"に保存」→「このiPhone内」に指定する。iCloud Driveは選ばないこと

Macの場合:

  1. Safariを開き、メニューバーの「ファイル」→「書き出す」→「パスワード」を選択する
  2. Touch IDまたはログインパスワードで認証する
  3. 保存先はデスクトップなどローカルを指定する

詳細はApple公式サポート「iPhoneでパスワードを書き出す」を参照してほしい。Wi-Fiパスワードや「Appleでサインイン」で使用しているアカウント情報はエクスポート対象外だ。これらは手動で記録しておく必要がある。

Bitwardenへのインポートと移行後にやるべきこと

移行先にBitwardenを挙げる根拠は単純だ。無料プランでパスワード件数無制限、デバイス台数無制限、パスキー管理対応。2026年1月にTOTPコード管理やファイル添付が有料化されたが(Premium年額$19.80に値上げ。従来の約2倍)、パスワード管理の基本機能は無料のまま維持されている。最新のプラン内容はBitwarden公式料金ページで確認できる。

インポート手順は以下のとおりだ。

  1. Bitwarden Web保管庫にアクセスしてログインする(アカウント未作成の場合は先に作成する。マスターパスワードは12文字以上を推奨)
  2. 左メニューの「ツール」→「データをインポート」を選択する
  3. 「インポート元」のプルダウンからフォーマットを選ぶ。Chromeからの移行なら「Chrome (csv)」、iCloudキーチェーンからなら「Apple Safari (csv)」を指定する
  4. エクスポートしたCSVファイルを選択し、「データをインポート」をクリックする
  5. ChromeとiCloudの両方からインポートした場合は重複エントリが発生する。保管庫内で同一URLのエントリを検索し、手動で統合するか片方を削除する

操作の詳細はBitwarden公式「Import from Chrome, Edge, & Chromium Browsers」に記載がある。

インポート完了後、以下の作業を必ず実施すること。

  • CSVファイルの完全削除: ゴミ箱に入れるだけでは不十分だ。WindowsならShift+Deleteで完全削除、Macなら「ゴミ箱を空にする」を実行する
  • Chromeのパスワード自動保存を無効化: chrome://password-manager/settings を開き「パスワードを保存できるようにする」をオフにする。これを忘れると、新しいパスワードが再びChromeに保存されて分散状態が再発する
  • iPhoneの自動入力ソースを切り替え: 「設定」→「パスワード」→「パスワードオプション」で自動入力のソースをBitwardenに変更し、iCloudキーチェーンをオフにする。Bitwardenアプリを事前にインストールしておくこと
  • 使い回しパスワードの洗い出し: Bitwarden Web保管庫の「ツール」→「レポート」で使い回しパスワードを検出できる(無料プランでも利用可能)。検出されたサービスから順にランダムパスワードへ変更する

※ 検証環境: Chrome 127 / macOS Sequoia 15.5 / iOS 26 / Bitwarden Web Vault 2026年7月時点。ブラウザやOSのバージョンによってメニュー名や配置が異なる場合がある。

FAQ

Bitwardenへ移行したら、ChromeやiCloudキーチェーンの保存パスワードは消すべき?

移行直後は残しておくのが安全だ。Bitwardenですべてのサービスにログインできることを1〜2週間かけて確認してから削除する。インポート漏れのサービスに気づかず一括削除すると、ログイン手段を完全に失うリスクがある。

Bitwarden無料プランだけで足りる?有料にすべきタイミングは?

パスワードの保存・自動入力・パスキー管理だけなら無料プランで十分だ。TOTPコード(二段階認証のワンタイムパスワード)もBitwardenで管理したい場合はPremium(年額$19.80、月額換算で約260円)が必要になる。

1Passwordとの違いは?

1Passwordは無料プランがなく、個人プランが年額$35.88(約5,600円、2026年7月時点)からだ。Watchtower(漏洩監視ダッシュボード)やTravel Mode(国境通過時のデータ保護)など上位機能が充実している。まず無料で試したいならBitwarden、最初からフル機能を求めるなら1Passwordと判断するのが合理的だ。

エクスポートしたCSVを誤ってGoogleドライブに保存してしまった場合は?

即座にGoogleドライブから削除し、ゴミ箱も空にすること。Googleドライブの「バージョン履歴」に残っていないかも確認する。万一、第三者にアクセスされた可能性がある場合は、Bitwardenに移行済みの全パスワードをランダム再生成するのが最も確実な対処だ。

参考文献