3件の新規独立監査で弊社VPNデスクトップアプリの安全性を確認

ExpressVPNユーザーは、弊社が提供するデジタルライフの保護に信頼を置いています。その信頼を得る方法の1つとして、独立したサイバーセキュリティの専門家に、製品評価を定期依頼し、セキュリティの正確さを検証しています。

そこで本日は、ExpressVPNの全デスクトップアプリ（macOS、Linux、Windows版アプリ）を対象とした新しい監査3件をご紹介します。

まずCure53に委託し、macOS、Linux版デスクトップアプリへのペネトレーションテスト、そしてソースコード診断を受けました。また、F-Secureに依頼し、前回のWindowsアプリ (v10) の監査からわずか数ヶ月後に、ペネトレーションテストおよびソースコード診断を通じてWindows (v12) アプリを再検証しました。

今回の監査は、Cure53、F-Secure両社との長年の協力関係により実現できました。

また、その監査結果、監査結果から得られた知見と洞察を、皆様にご報告いたします。

ExpressVPNのBrian Schirmacher（ExpressVPN ペネトレーションテストマネージャー）は、次のように述べています。「継続的な信頼と透明性の取り組みの一環として、弊社のすべてのデスクトップアプリが監査されたと発表できることを誇りに思います。これらの監査は、私たちがプロダクトの改善とセキュリティ確保に努めていることの証であり、Cure53とF-Secureから評価されたことを嬉しく思います。私たちは、近々モバイルアプリの監査を実施し、プロダクトのすべてのタッチポイントでプライバシーとセキュリティを確保し続けることをお約束します」

Cure53がmacOS・Linux版アプリの
セキュリティを検証

Cure53は、2022年6月〜8月に、ホワイトボックス ペネトレーションテスト及びソースコード診断を通じて、macOS、Linux版の両アプリをテストしました。今回の監査では、アプリが外部セキュリティ攻撃に耐える安全性があるのかの判断、そして弊社エンジニア・セキュリティ専門チームの取り組みの裏付けを可能とします。

監査結果として、セキュリティの脆弱（2件）とエクスプロイトの可能性が低い情報に関する懸念（4件）のわずか6件がmacOS版アプリでは発見されました。私たちはこれらの指摘に迅速に対応し、Cure53がその他脆弱性がないことも確認しております。

Cure53の監査レポートには、次のように書かれています。
「最新のmacOS版に対応した最新のExpressVPNアプリは、セキュリティ面で堅実であると評価します。全体として、非常に安全なmacOS版アプリをユーザーに提供するExpressVPNの取り組みを、高く賞賛します。あとほんの少しのハードウェア改善で、プラットフォームのセキュリティ体制は模範レベルとなります」

同様に、Linux版アプリの監査でも、発見されたセキュリティ上の問題点はわずかでした。5件の問題点のうち、セキュリティ上の脆弱性（2件）と悪用の可能性の低い一般的な弱点（3件）がありましたが、後に弊社の内部チームによってすべて見直されています。「中レベル以上の問題点が見当たらないことは、Linux版ExpressVPNアプリのセキュリティ対策が万全であることを示す強力な指標です」とCure53は述べています。

macOSに対するCure53の監査レポートはこちら、Linuxに対するレポートはこちらでご覧いただけます。

より安全になったExpressVPN Windows v12アプリ

F-Secureは2022年2月〜3月に、最新版Windowsアプリ (v12) のセキュリティ監査を実施しました。監査では、下記2点の重要な機能が評価されています。

1. VPNトンネル外部に情報（ユーザーのIPアドレスなど）が一切漏洩しない
2. アプリがリモートコード攻撃の影響を受けない

今回のF-Secureによる監査では、重大な弱点が発見されなかったことを嬉しく思います。F-Secureの独立監査機関によって、Windows v12アプリでは、悪用の可能性が低い情報に関する懸念が1件のみ発見されました。この問題はすでに修正されており、2022年4月に実施されたF-Secureによる再テストでも立証されています。

致命的、高、中、低リスクな問題、いずれも発見されませんでした。そして、前回のレポートと同様、F-Secureから素晴らしい評価を受け、次のように結論付けられました。「ExpressVPNのクライアントに関する情報やネットワークトラフィック外部からの情報を取得することは不可能でした。また、中間者（MitM）、TLSダウングレード、パケットインジェクションなどの攻撃による、リモートコード実行攻撃も不可能でした」

F-SecureのWindows v12監査レポートを読む

Windows v12では、アプリのセキュリティとOSとの連携が大幅に改善されました。また、より速く、より信頼性の高い、より安全なVPN体験のために構築された独自のプロトコル「Lightway」に最適化するべく再設計されたバックエンドが実装されています。これらの変更により、パラレル接続やThreat Managerなど、Windowsユーザーには魅力的な新機能をご利用いただけます。このような内部アップグレードを考慮して、Windows v12のセキュリティをできるだけ早く検証する必要がありました。Windows (v12) 版ExpressVPNをダウンロード

注意：v12はWindows 10以上のユーザーのみ利用可能です。

第三者機関によるプライバシーと
セキュリティ検証への取り組み

今回ご紹介した3つのデスクトップアプリの新しい監査を加え、ExpressVPNが公表した監査数は合計11となったことから、弊社がユーザーに最も安全なオンライン体験を提供していることが確認されました。以下は、過去の外部監査とセキュリティ評価です。

• KPMG社によるノーログポリシーの監査（2022年9月）
• Cure53社によるAircoveルーターのセキュリティ監査（2022年7月）
• Cure53社による弊社のVPNサーバー技術「TrustedServer」のセキュリティ監査（2022年5月）
• F-Secure社によるWindows v10アプリのセキュリティ監査（2022年3月）
• Cure53社による弊社VPNプロトコル「Lightway」のセキュリティ監査（2021年8月）
• PwC Switzerland社によるビルド認証プロセスに関する監査（2020年6月）
• PwC Switzerland社によるプライバシーポリシー遵守および自社技術「TrustedServer」の監査（2019年6月）
• Cure53社による「ブラウザ拡張機能」のセキュリティ監査（2018年11月）

私たちは、第三者機関による監査を、今後もより多くより高い頻度で実施するというコミットメントを守り続けます。これは、最も安全なVPN体験をユーザーにお楽しみいただくための方法の1つです。

本文中のリンク記事の一部は翻訳されず、元の言語のままであることをご了承ください。