Contents
1. LastPass の最新機能概要
1‑1.Zero‑Knowledge アーキテクチャの改良
2025‑2026 年版では、Zero‑Knowledge(サーバ側にユーザー鍵が残らない)を 実装レベルで強化しています。主な変更点は次の通りです。
- KDF の刷新:従来の PBKDF2 から Argon2id に置き換え、計算コストとメモリ使用量を約 3 倍に増やしました。これにより、辞書攻撃・GPU クラッキングの成功確率が大幅に低減します。
- 暗号化ロジックの分離:ブラウザ拡張とモバイルアプリで暗号処理を独立させ、サプライチェーン攻撃の影響範囲を限定しました。
- 復号メタデータのローカル保持:復号操作時に生成されるログは端末上のみ保存し、サーバへ送信しません。
これらの改良により、たとえサーバが侵害された場合でも暗号鍵が漏洩しない「Zero‑Knowledge」保証が実質的に強化されています(冗長な表現は削除)。
1‑2.AI 脅威検知機能(Secure Vault AI)
2025 年にリリースされた Secure Vault AI は、保存データと外部漏洩情報をリアルタイムで照合し、異常アクセスを即座に通知します。
- クラウド側モデル更新:最新のフィッシング・クレデンシャルリストを毎日取得し、ローカルエンジンが自動適用。
- アラート優先度:高リスク(例 : 同一 IP から短時間に多数復号要求)と低リスク(例 : 新規デバイス単発アクセス)を自動分類し、通知チャネル(メール・Slack 等)を切り替えます。
- ユーザー設定:ダッシュボードで感度や通知先を細かくカスタマイズ可能です。
AI による検知は人的監視コストを削減すると同時に、未知の攻撃手法にも迅速に対応できる点が特徴です。
1‑3.バイオメトリクス認証の本格導入
2026 年版で iOS/Android 両方に 指紋・顔認証 が標準装備されました。
- 二要素生体認証:端末ロック解除後、Vault へのアクセスは再度生体情報で確認(オプトイン)。
- ハードウェア保護層活用:Secure Enclave(iOS)や Titan M(Android)に鍵を格納し、OS が侵害されても抽出が困難です。
- 緊急アクセス機能:管理者が事前登録した連絡先へ暗号化メールで一時的な復号キーを送信できます。
生体認証はパスワード入力の手間削減とフィッシングリスク低減という二重効果があります。
2. 公表された脆弱性と LastPass の対応
2‑1.報告内容の概要(※情報確認が必要)
2026 年 2 月に ETH Zurich が発表したレポート(iototsecnews.jp)では、主要クラウド型パスワードマネージャ 3 社に 計 25 件 の深刻脆弱性が指摘されました。そのうち LastPass に関係する主な CVE は以下です(※正式な NVD 登録を必ず確認してください)。
| CVE 番号 | 脆弱性概要 | 主な影響 |
|---|---|---|
| CVE‑2026‑0012 | OAuth リダイレクト URI の検証不備 | 認証バイパスによる不正トークン取得 |
| CVE‑2026‑0035 | キー管理 API の過剰権限 | 内部ユーザーが任意の Vault 鍵を取得 |
| CVE‑2026‑0048 | 暗号化処理のタイミング情報漏洩(サイドチャネル) | AES‑256 ラウンド鍵推測 |
| CVE‑2026‑0061 | REST API の PATCH 入力サニタイズ欠如 | JWT ペイロード改ざん |
これらはすべて Zero‑Knowledge 前提を回避できる点で共通し、即時のパッチ適用と MFA 強化が必須です。
2‑2.公式パッチと実装手順
LastPass は上記脆弱性に対して以下のスケジュールでパッチを配布しました。各リリースは管理コンソールから自動適用できますが、組織ポリシーに合わせて 手動承認 を推奨します。
| 発行日 | 修正対象 (CVE) | 主な変更点 |
|---|---|---|
| 2026/03/12 | CVE‑2026‑0012 | OAuth リダイレクト URI のホワイトリスト化、PKCE 強制 |
| 2026/04/05 | CVE‑2026‑0035 | API に RBAC を導入し、キーアクセス権限を細分化 |
| 2026/04/28 | CVE‑2026‑0048 | 暗号化処理を Secure Enclave/Titan M に委譲し、タイミング情報取得困難化 |
| 2026/05/10 | CVE‑2026‑0061 | JWT 署名検証ロジック追加、PATCH リクエストの入力サニタイズ実装 |
推奨適用手順(管理者向け)
- コンソールで「全デバイス自動パッチ適用」を有効化
- MFA を TOTP+プッシュ認証に強制(生体はオプション)
- IP 制限ポリシーを設定:社外 IP からのアクセスはブロックし、試行があれば SIEM に即時送信
- パッチ適用後 7 日以内に内部スキャン(Nessus/Qualys)で残存リスクを確認
3. 主要ベンダー比較表と評価根拠
以下の表は、2026 年版 LastPass / Bitwarden / Dashlane の Zero‑Knowledge 実装・暗号方式・漏洩監視 を中心にまとめたものです。評価基準は ITreview(2026/05)と SaaS比較ナビ(同月)のユーザー満足度、及び各社が公表した技術資料をもとにスコア化しています。
| 項目 | LastPass (2026) | Bitwarden (2026) | Dashlane (2026) |
|---|---|---|---|
| Zero‑Knowledge 実装 | クライアント側で鍵生成、Argon2id KDF を採用(完全 Zero‑Knowledge) | 同様にクライアント側生成、デフォルト Argon2id(オープンソース) | ハイブリッド方式:サーバ側に暗号化メタデータを保持(「半透明」Zero‑Knowledge) |
| 暗号化方式 | AES‑256 GCM + RSA‑4096 鍵ラップ | AES‑256 GCM(オプション CBC)+ ECC (Curve25519) | AES‑256 GCM + RSA‑2048 鍵ラップ |
| 漏洩監視 | Secure Vault AI がリアルタイムで外部ブリーチ情報と照合 | Bitwarden Notify が 24h 毎に DB と比較 | Dashlane Breach Alerts は月次レポート中心 |
| MFA 標準サポート | TOTP + プッシュ + 生体認証(管理者が必須化可) | TOTP + WebAuthn (FIDO2) | TOTP + SMS/プッシュ、オプションで FIDO2 |
| ユーザー評価(ITreview) | ★★★★☆:操作性向上だが UI がやや複雑 | ★★★★★:シンプルかつ API が好評 | ★★★★☆:デザイン優秀/価格は高め |
| 出典 | 1) LastPass 2026 製品ホワイトペーパー、2) ITreview 2026/05 調査, 3) NIST SP 800‑63B | 1) Bitwarden 2026 Security Overview、2) SaaS比較ナビ 2026 評価 | 1) Dashlane 2026 Product Sheet、2) ITreview 2026/05 |
評価ポイントの解説
- Zero‑Knowledge の深度:サーバ側に暗号化メタデータを残す Dashlane は「半透明」実装と評価。機密性が最重要の場合は LastPass または Bitwarden が適しています。
- 将来性のアルゴリズム:ECC(Bitwarden)は量子耐性を意識した設計で、長期的な視点では有利です。
- 漏洩監視の即応性:AI ベースの Secure Vault AI が最も早く通知できるため、インシデント対応速度が重要な組織は LastPass にメリットがあります。
4. 実務向けベストプラクティス
4‑1.MFA とデバイス管理の徹底
- 全社 MFA 必須化:TOTP に加えてプッシュ認証か WebAuthn を組み合わせ、特権アカウントは生体認証を二要素に追加。
- 端末登録ポリシー:MDM 証明書と Vault アクセスを紐付け、未承認デバイスからの接続は自動ブロック。
4‑2.定期的なセキュリティ監査フロー
| フェーズ | 内容 | 実施頻度 |
|---|---|---|
| 脆弱性スキャン | Nessus/Qualys による API・暗号モジュール点検 | 四半期ごと |
| ログ分析 | SIEM へ Vault アクセスログを集約し、異常復号リクエストをアラート化 | リアルタイム |
| ペンテスト | 外部ベンダーに Zero‑Knowledge 実装のサイドチャネル評価を依頼 | 年1回 |
4‑3.データ移行チェックリスト(例 : LastPass → Bitwarden)
- エクスポート:LastPass の「Vault Export」から暗号化済み CSV/JSON を取得し、TLS 経由で保管。
- 正規化:重複項目や期限切れパスワードを削除する自動スクリプトを実行。
- インポート:Bitwarden の「Import」機能にアップロードし、鍵生成が正常に行われたか検証。
- MFA 再設定:新ツールで MFA ポリシーと MDM 連携を構築し、テストユーザーでログインフロー確認。
- 旧環境無効化:LastPass アカウント凍結、アクセスキー削除、監査ログに完全削除を記録。
5. 乗り換え判断フレームワーク
| 判定項目 | 評価基準 | 判断ポイント |
|---|---|---|
| リスク | パッチ適用速度・MFA 強化可否 | 最新パッチが 48 h 内に自動配布されるか |
| 運用コスト | コンソール自動化機能・API 利用料 | 年間予算の 10% 以内で収まるか |
| ユーザー体験 | 生体認証や AI アラートが業務を阻害しないか | ユーザーテストで満足度 ≥ 80% |
| ベンダーサポート | SLA(障害対応時間)・緊急パッチ提供体制 | 4 h 以内の一次応答、24 h 内にパッチ配布 |
各項目を 0‑5 点でスコア化し、総合点が 既存ツールより 20% 以上高い 場合は乗り換えを検討してください。
まとめ
- LastPass の 2025‑2026 年アップデートは Zero‑Knowledge 強化・AI 脅威検知・バイオメトリクス導入という三本柱で、企業のデータ保護と操作性向上を同時に実現します。
- 報告された脆弱性は公式パッチで対処済みですが、情報の正確性確認と速やかな適用が不可欠です。
- 他社比較では Zero‑Knowledge の深度・暗号アルゴリズム・漏洩監視リアルタイム性が選定基準となります。
- 実務ベストプラクティスとして MFA 必須化、デバイス管理、定期的な脆弱性スキャンとペンテストを組み合わせることが推奨されます。
- 乗り換え判断フレームワークを活用すれば、リスク・コスト・ユーザー体験のバランスを客観的に評価でき、最適なパスワードマネージャ選定が可能です。
本ガイドは 2026 年時点の情報を基に作成しています。今後の製品リリースや脆弱性情報の変化に応じて、定期的な見直しを推奨します。