TL;DR
- LastPassは2022年に深刻なデータ侵害を起こし、暗号化済みボルトデータが流出。 弱いマスターパスワードを使っていたユーザーは現在もリスクにさらされている可能性がある。
- NordPassはXChaCha20暗号化+ゼロ知識設計で、2026年現在もセキュリティ侵害の報告はない。 個人プランは月額約$1.99(年払い)から利用可能。
- LastPassからNordPassへの移行は30分以内に完了できる。 CSVエクスポート→インポートの手順を本記事で解説する。
イントロダクション
「パスワードマネージャーを使っているから安全」──そう思っていたLastPassユーザーが2022年に直面した現実は、その前提を根底から覆すものだった。攻撃者はLastPassの開発者端末を侵害し、最終的にユーザーの暗号化されたボルトデータを盗み出した。「暗号化されているから大丈夫」という説明もあったが、セキュリティ専門家の多くは強く乗り換えを勧めた。
本記事はLastPassのセキュリティ事故を知っており、NordPassへの乗り換えを検討している個人・中小企業のIT担当者に向けた、2択に絞った判断フレームワークを提供する。NordPass単体のレビューはこちら、複数ツールとの総合比較はパスワードマネージャー比較2026年版を参照してほしい。
LastPass 2022年セキュリティ事故の概要と現状
事故の経緯
2022年8月、LastPassは開発者のラップトップ侵害を最初に公表した。この時点では「ソースコードの一部が流出したが、ユーザーデータへのアクセスはない」とされていた。しかし2022年11月、関連するサードパーティクラウドストレージへの侵害が発覚。同年12月の最終報告では以下が明らかになった。
- 暗号化されたボルトデータ(パスワード含む)が盗まれた
- URLや一部のメタデータは暗号化されていなかった
- MFAシード・APIキーなどのデータも影響を受けた
現在のリスク評価
侵害から3年以上が経過した2026年時点でも、以下のリスクは残存する。
- マスターパスワードが弱い場合、ブルートフォースによる復号リスク ── LastPassの当時の公式デフォルトイテレーション数は100,100回だったが、過去に設定を更新していないアカウントでは5,000回以下の古い値が残っており、推奨値(310,000以上)を大幅に下回るユーザーが多かったと報告されている。
- 盗まれたデータは攻撃者が保持し続ける ── 復号を後日試みる「offline cracking」の対象になり得る。
- 流出URLから標的型フィッシングへの悪用 ── どのサービスにアカウントを持つかが判明している。
LastPassは2023年以降、インフラ刷新・マスターパスワード最低12文字の強制・PBKDF2イテレーション数を600,000回へ引き上げなど主要なセキュリティ改善を実施しており、現在の製品として再評価する余地はある。しかし、一度侵害されたという事実は変えられない。信頼性を最優先するならば乗り換えが合理的な選択だ。
機能比較表
| 比較項目 | NordPass | LastPass |
|---|---|---|
| 個人プラン料金(年払い) | 約$1.99/月 | 約$3.00/月 |
| ビジネスプラン料金 | 約$3.59/ユーザー/月(Businessプラン) | 約$4.00/ユーザー/月(Teamsプラン) |
| 暗号化方式 | XChaCha20 | AES-256 |
| ゼロ知識アーキテクチャ | ✅ 完全ゼロ知識 | ✅ ゼロ知識(侵害歴あり) |
| 多要素認証(MFA) | TOTP / 生体認証 / ハードウェアキー | TOTP / 生体認証 / ハードウェアキー / Authenticator App |
| 緊急アクセス | ✅ 対応 | ✅ 対応 |
| データ侵害スキャン | ✅ Email・パスワードチェック | ✅ ダークウェブモニタリング |
| パスキー対応 | ✅ 対応 | ✅ 対応(2025年8月より一般提供開始) |
| UI評価(G2スコア) | 4.5/5(639件) | 4.4/5(約1,980件) |
| 対応プラットフォーム | Windows / Mac / Linux / iOS / Android / Chrome拡張ほか | Windows / Mac / Linux / iOS / Android / Chrome拡張ほか |
| ファミリープラン | ✅ 6ユーザーまで | ✅ 6ユーザーまで |
| 無料プラン | ✅ あり(1デバイス制限) | ✅ あり(2022年よりデバイス制限強化) |
| 独立セキュリティ監査 | ✅ Cure53による監査実施(2020年・2021年) | ✅ SOC 2 Type II・ISO 27701取得済み |
| 本社所在地 | リトアニア(EU GDPR適用) | アメリカ(GoTo傘下) |
暗号化方式の補足
LastPassが採用するAES-256は業界標準として十分に堅牢だが、NordPassが採用するXChaCha20はより新しいアルゴリズムで、実装上の落とし穴が少なく高速である点が特徴だ。実際の侵害リスクはアルゴリズムの強度よりも実装・運用の問題に起因することが多く、その点でNordPassは侵害履歴がないという事実が重要な評価軸になる。
NordPassの強み・弱み
強み
- XChaCha20による先進的な暗号化 ── Google等が推進する次世代対称暗号。AES-256と同等以上のセキュリティを、より効率的に提供する。
- 侵害履歴ゼロ(2026年3月現在) ── NordVPNグループ傘下で培われたセキュリティ文化。ゼロ知識を徹底している。
- Cure53による独立監査 ── 信頼性の高いセキュリティ監査機関による外部検証を実施済み(2020年コンシューマー版・2021年Business版)。最新の監査レポートはnordpass.com/blog/nordpass-business-independent-security-audit/で公開されている。
- UI/UXのシンプルさ ── 非技術者でも迷わず使えるクリーンなインターフェース。実務では「新入社員への展開が容易」という声が多い。
- パスキー対応 ── パスワードレス認証への移行を見据えた対応が完了している。
- EU GDPR準拠 ── リトアニア法人としてGDPRの厳格な基準に従う。日本企業のグローバル展開にも適合しやすい。
弱み
- ビジネス向け高度機能がLastPassより薄い ── Active Directory連携やSCIMプロビジョニングはNordPass EnterpriseプランでAzure AD/Entra ID・Okta経由のSSO・SCIMが利用可能だが、OIDCアプリとSCIMの併用に技術的な制約があるなど、LastPass Enterpriseに比べ一部機能が発展途上な部分がある。
- サードパーティ統合の数 ── LastPassはSSOプロバイダとの統合数が多い。NordPassは主要なIdP(Azure AD・Okta等)に対応しているが、統合実績の数ではLastPassを下回る(最新情報は公式サイトでご確認ください)。
- 無料プランは1デバイス制限 ── 複数デバイス利用は有料プランが必要。
LastPassの強み・弱み(現状)
強み
- 成熟したエンタープライズ機能 ── SCIM、Active Directory連携、詳細な管理ダッシュボードなど、大規模展開に必要な機能が揃っている。
- 豊富なSSO統合 ── Okta、Azure AD、Google Workspaceなど主要IdPとの統合実績が多い。
- 長年の実績によるUX安定性 ── 長期ユーザーにとっては操作感が完成されており、習熟コストなしに使い続けられる。
- 広範なエコシステム ── ブラウザ拡張の挙動が多くのビジネスアプリと検証済み。
弱み
- 2022年侵害という拭えない事実 ── 暗号化済みとはいえボルトデータが盗まれた事実は信頼性に影を落とし続ける。
- 親会社変遷によるブランド信頼の低下 ── LogMeIn売却→GoTo傘下への移行が続き、製品の優先度とサポート品質への懸念がユーザーコミュニティで指摘されている。
- 無料プランの実質的な機能縮小 ── 2021年のデバイス制限変更以降、無料での利用価値が大幅に低下した。
- PBKDF2イテレーション数の歴史的問題 ── 侵害当時のデフォルトは100,100回だったが、過去の設定が引き継がれたアカウントでは5,000回以下のケースも報告されており、推奨値を大幅に下回っていた。
乗り換えるべきケース / 留まるべきケース
NordPassに乗り換えるべきケース
| シチュエーション | 理由 |
|---|---|
| LastPassを2022年以前から利用しており、マスターパスワードが12文字未満だった | ブルートフォースリスクが高く、今すぐ乗り換えが必要 |
| 個人・中小企業でシンプルな運用を求めている | NordPassのUIは展開・管理が容易 |
| セキュリティ侵害履歴のないツールを選定基準にしている | NordPassは2026年時点で侵害報告なし |
| EUデータ保護規制(GDPR)への準拠を重視する | リトアニア法人として厳格なGDPR適用下にある |
| パスキーへの段階的移行を計画している | 両製品対応だが、NordPassのUI統合がよりスムーズとの評価が多い |
LastPassに留まるべきケース
| シチュエーション | 理由 |
|---|---|
| Active DirectoryやSCIMプロビジョニングが必須の大企業 | LastPass Enterpriseの方が実績・機能ともに成熟 |
| 既存のLastPass Enterprise契約が残っており、すぐの移行コストが見合わない | 契約期間中はセキュリティ設定強化(イテレーション数・MFA)で対処し、次回更新時に再評価 |
| 特定のSSOプロバイダとの統合が既に構築済みで移行コストが大きい | 慎重にROIを評価した上で判断 |
In practice: 50名以下のスタートアップで情報セキュリティ担当を務めるチームからは「LastPassの侵害後にNordPassへ全社移行した。展開作業は1日で完了し、社員からの問い合わせも少なかった」という声が報告されている(出典: G2 NordPass Business レビュー)。
LastPass → NordPass 移行手順
移行は大きく「エクスポート→インポート」の2ステップで完了する。所要時間の目安は30分以内(パスワード数200件未満の場合)。
ステップ1: LastPassからCSVエクスポート
- LastPass拡張機能またはWebアプリにログイン
- 左メニュー「Advanced Options」→「Export」をクリック
- マスターパスワードで本人確認
lastpass_export.csvがダウンロードされる
セキュリティ注意事項: CSVファイルはパスワードが平文で含まれます。ダウンロード後は安全な場所に保管し、インポート完了後は即座に削除してください。
ステップ2: NordPassアカウント作成
NordPassを無料で試す(14日間トライアル)からアカウントを作成する。
- メールアドレスとマスターパスワードを設定(16文字以上・ランダムを強く推奨)
- MFAを設定する(TOTPアプリまたはハードウェアキー)
ステップ3: NordPassへのインポート
- NordPassデスクトップアプリ or Webアプリを開く
- 左下「Settings」→「Import Items」をクリック
- 「LastPass」を選択(専用パーサーが用意されている)
- 手順1でダウンロードしたCSVをアップロード
- インポートプレビューを確認し「Import」を実行
ステップ4: インポート後の検証
- パスワード数が一致しているか確認
- 重要なアカウント(メール・銀行・業務ツール)でログインテストを実施
- NordPassのパスワードヘルス機能で弱いパスワードを洗い出し、この機会に一新
ステップ5: LastPassのデータ削除とアカウント処理
- LastPass Webアプリ → Account Settings → Delete or Reset Account
- 削除前に「Trust on First Use」デバイス一覧を確認し、不審なデバイスがないか最終チェック
ビジネス利用の場合: チーム展開時はNordPass Businessの管理コンソールから「Invite Members」(一括メール招待)機能を使い、CSVまたはTXTでメールアドレスを一括アップロードしてメンバーへの招待とインポートガイドをまとめて送付できる。
まとめ
2022年のLastPass侵害は、どんなに優れたアルゴリズムを採用していても「実装・運用のミスがセキュリティを損なう」という現実を改めて示した。LastPassが現在も製品として機能していることは事実だが、一度盗まれたボルトデータは攻撃者の手に渡り続けている点は看過できない。
NordPassはXChaCha20暗号化・ゼロ知識設計・独立監査という3つの柱で、LastPassに代わる有力な選択肢となっている。特に個人・中小企業でシンプルかつ堅牢なパスワード管理を求めるユーザーにとって、乗り換えのコストパフォーマンスは高い。
移行を検討しているなら、まずは無料プランまたは14日間トライアルから試してみることを推奨する。
関連記事
出典
- LastPass公式インシデントレポート(2022年12月): https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/
- LastPass公式アップデート(2023年3月): https://blog.lastpass.com/2023/03/security-incident-update-recommended-actions/
- NordPass公式セキュリティページ: https://nordpass.com/security/
- Cure53 NordPass監査レポート(Business版 2021年): https://nordpass.com/blog/nordpass-business-independent-security-audit/
- Cure53 NordPass監査レポート(コンシューマー版 2020年): https://nordpass.com/blog/nordpass-security-audit-2020/
- NIST SP 800-132(パスワードベースの鍵導出推奨): https://csrc.nist.gov/publications/detail/sp/800-132/final
- G2 NordPass Business レビュー: https://www.g2.com/products/nordpass-business/reviews
- G2 LastPass レビュー: https://www.g2.com/products/lastpass/reviews
- LastPass パスキーサポート発表(2025年8月): https://blog.lastpass.com/posts/lastpass-now-supports-passkeys
- LastPass Trust Center: https://www.lastpass.com/trust-center
- NordPass メンバー招待ヘルプ: https://support.nordpass.com/hc/en-us/articles/360012847098-How-to-invite-members-to-join-my-organization