vpn

ExpressVPNは安全か?セキュリティ、プライバシー、監査分析

ExpressVPNは安全か?独立監査の結果、暗号化プロトコル、管轄地分析、キルスイッチテスト、ノーログポリシーの検証。

VPN.com Editorial Team · ·9 分で読めます

ExpressVPNは安全か?セキュリティの詳細分析

ExpressVPNは、検証済みのノーログ監査、AES-256暗号化、105か国にわたるRAMオンリーサーバーにより、85/100のトラストスコアを獲得しています。14 Eyes監視同盟の圏外であるイギリス領ヴァージン諸島の管轄下で運営されており、KPMGおよびCure53による複数の独立監査によってノーログの主張が精査に耐えることが確認されています。

管轄地:イギリス領ヴァージン諸島が重要な理由

ExpressVPNはイギリス領ヴァージン諸島(BVI)に法人登記しており、同地域はイギリスの自治海外領土です。BVIにはVPNプロバイダーに対する義務的なデータ保持法がありません。この一点が、ExpressVPNが政府のデータ要求にどう対応するかを決定づけています。

BVIは5 Eyes、9 Eyes、14 Eyes情報共有同盟のいずれにも属していません。外国政府の要求はExpressVPNに届く前にBVI高等裁判所を経由しなければなりません。BVIには外国の召喚状や監視命令を直接履行する法的義務がありません。

この管轄地上の優位性は2017年に実証されました。トルコ当局が政治的な捜査の過程でExpressVPNのサーバーを押収しましたが、サーバーにはユーザーデータが一切含まれておらず、実際の政府圧力のもとでノーログポリシーが機能することが確認されました。

独立監査の履歴

ExpressVPNはほとんどの競合他社よりも多くのサードパーティセキュリティ監査を完了しています。各監査はサービスのプライバシーおよびセキュリティに関するさまざまな側面を検証しています。

KPMGによるノーログ監査

KPMGは2022年および2024年にExpressVPNのノーログポリシーを監査しました。両監査とも、ExpressVPNのTrustedServerテクノロジーがアクティビティログ、接続ログ、IPアドレスをいっさい保存しないことを確認しました。KPMGは本番サーバーと内部システムをテストし、これらの主張を独立して検証しました。

Cure53によるセキュリティ監査

ドイツの著名なサイバーセキュリティ企業Cure53は、ExpressVPNを複数回にわたり監査しています。2019年にブラウザ拡張機能を検査し、重大な脆弱性は発見されませんでした。2021年にはLightway プロトコルを監査し、暗号化実装が健全であることを確認しました。2022年にはTrustedServerインフラを審査し、高評価を与えました。

PwCによる監査

プライスウォーターハウスクーパース(PwC)は2019年に初期のノーログ監査を実施しました。PwCはExpressVPNのサーバー設定が公開されているプライバシーポリシーに合致していることを確認しました。これはExpressVPNが委託した最初の主要な監査の一つです。

ExpressVPNはすべての監査結果の概要を自社ウェブサイトで公開しています。Cure53のフルレポートも公開されており、VPN業界における平均以上の透明性を示しています。

ログポリシー:何が保存され、何が保存されないか

ExpressVPNのプライバシーポリシーは収集するデータを明確に記載しています。マーケティング上の主張よりも具体的な内容を理解することが重要です。

ExpressVPNが保存しないデータ

ExpressVPNは閲覧履歴、トラフィックの宛先、DNSクエリ、またはIPアドレスをログに記録しません。接続タイムスタンプ、セッション時間、または割り当てられたVPN IPアドレスも記録しません。通信の内容はいかなるログシステムも通過しません。

ExpressVPNが収集するデータ

ExpressVPNは集計した接続データを収集します。具体的には、使用しているアプリのバージョン、選択したサーバーの場所(特定のサーバーではなく)、および1日あたりの合計帯域幅使用量です。このデータでは個人ユーザーを特定したり、アクティビティを特定のアカウントに紐づけたりすることはできません。ExpressVPNはこの情報を3,000台以上のサーバーネットワーク全体のキャパシティ管理に活用しています。

アカウントのメールアドレス、支払い情報、サポートチケットの履歴は請求目的で保存されます。最大限の匿名性を求めるユーザーはBitcoinで支払ったり、使い捨てのメールアドレスを使用したりすることができます。

暗号化標準とプロトコル

ExpressVPNはデフォルト標準としてAES-256-GCM暗号化を使用しています。これは米国政府が機密情報に使用しているものと同じ暗号化レベルです。AES-256を解読するには現在存在しない計算能力が必要です。

利用可能なプロトコル

ExpressVPNはアプリ全体で4種類のVPNプロトコルを提供しています。LightwayはwolfSSLをベースに構築された独自プロトコルで、ChaCha20またはAES-256暗号化を使用しています。OpenVPNはUDPとTCPの両方でAES-256-GCMを用いて動作します。IKEv2/IPSecは特定のプラットフォームで高速なモバイル接続のために利用可能です。

Lightwayは特筆に値します。そのコードベースは約2,000行で構成されており、OpenVPNの70,000行以上と比べて大幅に少ない規模です。行数が少ないということは潜在的な脆弱性が少なく、接続時間も1秒未満と高速です。Cure53はLightwayのソースコードを監査しており、ExpressVPNはそれをGitHub上でオープンソースとして公開しています。

完全前方秘匿性

ExpressVPNは接続セッションごとに新しい暗号化キーをネゴシエートします。仮に攻撃者が一つのセッションキーを何らかの方法で侵害しても、過去および将来のセッションは保護されたままです。この機能はキャプチャされたトラフィックの大量遡及的解読を防ぎます。

キルスイッチとDNSリーク保護

ExpressVPNはキルスイッチを「Network Lock」と呼んでいます。Windows、Mac、Linux、ルーターでデフォルトで有効になっています。Network LockはVPN接続が予期せず切断された場合、すべてのインターネットトラフィックをブロックします。

Network Lockはアプリケーションレベルではなく、ファイアウォールレベルで動作します。このアプローチにより、アプリケーションレベルのキルスイッチがしばしば見逃す短い再接続ウィンドウ中のリークを防止します。VPNトンネルおよびExpressVPNのDNSサーバーへのトラフィックのみを許可します。

ExpressVPNはすべてのサーバーで独自のプライベートな暗号化DNSを運用しています。DNSクエリはGoogleやCloudflareなどのサードパーティDNSプロバイダーに触れることはありません。これによりソフトウェアパッチに頼るのではなく、インフラレベルでDNSリークのリスクを排除しています。

独立したテストツールによる一貫したテストの結果、ExpressVPNの主要アプリ全体でDNSリーク、WebRTCリーク、IPv6リークがいずれもゼロであることが示されています。ルーターファームウェアはこの保護をネットワーク上のすべてのデバイスに拡張します。

過去のセキュリティインシデント

精査を受けたことのないセキュリティ製品はありません。ExpressVPNには検討に値する2つの注目すべきインシデントがあります。

トルコでのサーバー押収(2017年)

トルコ当局はロシア大使アンドレイ・カルロフ暗殺事件を捜査するためExpressVPNのサーバーを押収し、容疑者の通信記録の入手を試みました。しかしサーバーには使用可能なデータが一切なく、実際の法執行機関の圧力下でもノーログインフラが機能することが実証されました。

Kape Technologiesによる買収(2021年)

Kape TechnologiesはExpressVPNを2021年9月に約9億3,600万ドルで買収しました。Kapeはリブランディング前はCrossriderとして運営しており、アドウェア配布と関連のある企業でした。この買収はプライバシー支持者の間で正当な懸念を引き起こしました。

ExpressVPNは独立した運営とBVI管轄を維持することで対応しました。2022年および2024年の買収後のKPMG監査では、ノーログポリシーが維持されていることが確認されました。同社はリーダーシップチームを維持し、監査結果の透明な公開を継続しています。ユーザーは継続的な独立性を確認するために今後の監査を注視する必要があります。

独自のセキュリティ機能

ExpressVPNは同等の暗号化標準を持つ競合他社と差別化する複数のセキュリティ機能を提供しています。

TrustedServerテクノロジー

ExpressVPNのすべてのサーバーはハードドライブではなく、揮発性RAMのみで動作します。サーバーは起動時に読み取り専用イメージを読み込みます。すべてのデータはサーバーの再起動ごとに完全に消去されます。このアーキテクチャにより、VPNサーバーへの永続的なデータ保存は物理的に不可能になっています。

Threat Manager

Threat Managerは、アプリやウェブサイトが既知のトラッカーや悪意のあるサーバーと通信するのをブロックします。接続されているすべてのデバイスにわたってDNSレベルで動作します。ExpressVPNは脅威インテリジェンスデータに基づいてブロックリストを定期的に更新しています。

Express Keys(パスワードマネージャー)

ExpressVPNはすべてのサブスクリプションにKeysというビルトインのパスワードマネージャーをバンドルしています。Keysはゼロ知識暗号化を使用しており、ExpressVPNは保存されたパスワードにアクセスできません。この統合によりVPNトンネル自体を超えた実用的なセキュリティ価値が加わります。

ポスト量子暗号保護

ExpressVPNはLightwayプロトコルにポスト量子暗号サポートを実装しました。この機能は現在の暗号化標準を破る可能性のある将来の量子コンピューティング攻撃から保護します。現在のテスト時点でこの保護を実装しているVPNプロバイダーはほとんどありません。

よくある質問

ExpressVPNはログを保持しますか?

ExpressVPNはアクティビティログ、接続ログ、IPアドレス、閲覧履歴を保持しません。ネットワーク管理のためにアプリのバージョンやサーバーの場所の選択など最小限の集計データを収集します。KPMGおよびPwCの監査が複数年にわたりこれらのノーログの主張を独立して検証しています。

ExpressVPNはハッキングされたことがありますか?

ExpressVPNはユーザー情報に影響する確認済みのデータ侵害を経験していません。2017年のトルコでのサーバー押収は当局がユーザーデータをゼロしか回収できなかったため、ノーログシステムが機能することを証明しました。TrustedServerのRAMオンリーアーキテクチャは物理的なサーバー侵害の影響を最小限に抑えます。

ExpressVPNは信頼できますか?

ExpressVPNは5回以上の独立監査、オープンソースのプロトコルコード、および検証済みのノーログインシデントによって信頼性を実証しています。Kape Technologiesの所有権についてはユーザーが個別に検討すべき正当な疑問点を提起しています。30日間の返金保証により、ユーザーは最小限の財務リスクでサービスをテストできます。

ExpressVPNは私のデータを見ることができますか?

ExpressVPNはVPNトンネル内のAES-256エンドツーエンド暗号化により、閲覧データを見ることができません。TrustedServerインフラはいかなるサーバーのディスクにもデータが書き込まれるのを防ぎます。裁判所命令によって強制されたとしても、ExpressVPNには提出すべきユーザーアクティビティデータが保存されていません。