2件の外部監査で弊社VPNモバイルアプリの安全性を立証

弊社には、適切なソフトウェアおよびプライバシー対策を導入し、ユーザーの皆様のオンライン活動のプライバシーと安全性を維持することが期待されています。そこで、ExpressVPNのセキュリティ保護施策が設計通りに機能することを検証するため、弊社は社内での多岐にわたるテストにとどまらず、定期的に第三者機関による監査を行っています。

今回検証を受けたAndroidおよびiOS版モバイルアプリは、サイバーセキュリティ企業であるCure53社により、ペネトレーションテスト（ホワイトボックステスト）およびソースコード診断による評価が個別に実施されました。実施時期は、Android版アプリの監査は8月に、iOS版の監査は8月下旬から9月上旬にかけて行われました。

監査内容には、モバイルアプリに搭載されているパスワードマネージャー  (ExpressVPN Keys) の調査と、VPNプロトコルの統合および依存関係の調査も含まれています。

これらの独立した評価は、弊社のセキュリティに関する主張を公平に検証する上で最も重要と言えます。また、悪意のあるユーザーや外部アプリからの攻撃に対して、弊社VPNがどの程度耐えられるかについての洞察も得られます。私たちはCure53による検証結果を好意的に受け止めており、さらなる監査の機会を通じて、業界をリードする弊社のセキュリティ体制を強化していきたいと考えています。

ExpressVPNのペネトレーションテストマネージャーであるBrian Schirmacherは、次のように述べています。

「私たちは、デジタルプライバシーとセキュリティ保護に対する世界的なニーズの高まりを認識しており、ExpressVPNの両モバイルアプリが、Cure53の独立したセキュリティ専門機関によって監査されたことをご報告でき嬉しく思います。この発表は、弊社の3つのデスクトップアプリの完全な監査およびKPMGによるノーログポリシー監査のわずか数週間後に行われたため、さらに重要な意味をもっています。Cure53のような著名なサイバーセキュリティ企業による監査は、弊社にとって数ある信頼と透明性への取り組みの1つです。私たちは、サイバーセキュリティ業界において高いハードルを設定し続けたいと考えています」

ExpressVPNのAndroidおよびiOS版モバイルアプリの安全性を確認

Cure53が弊社のAndroid版モバイルアプリを詳細に調査した結果、危険度「中」または「低」と評価されたセキュリティ上の脆弱性が3件発見されました。また、一般的なセキュリティ強化推奨事項が10項目作成され、「その他の情報」として指摘されました。

Cure53はレポートで次のように述べています。「今回の結果は、ExpressVPNチームが最新のVPNアプリが陥りがちな多くの問題を明確に認識しているだけでなく、それらに効果的に対処できていることを示す十分な証拠です」「総じて、指摘事項はありましたが、今回テストチームが得た全体的な印象は十分に好ましいものでした。これは主に、指摘事項の大半がAndroidアプリによく見られる一般的な設定ミスの一種であるということに起因しています」

「前述のどの脆弱性も、直接悪用して攻撃を成功させることができないという事実も、優良評価と言える裏付けになります」

Cure53によるAndroidモバイルアプリの監査レポートを読む

Cure53によるiOSアプリに関する詳細なセキュリティ評価では、4件の脆弱性が確認されましたが、いずれも危険度は「中」または「低」と評価されました。4件の問題のうち3件は、ローカルでの情報漏洩に関連しています。つまり、攻撃者がユーザーのデバイスに物理的にアクセスするかデバイスを侵害しなければ、ユーザーに何らかの影響を与えることができないことを意味しています。また、悪用の可能性が低いセキュリティ強化に関する推奨事項が5項目指摘されました。

Cure53は次のように述べています。「すべての調査結果が危険度「中」またはそれ以下であったことは、重大な攻撃対象や潜在的な脅威がないことを示しています」「全体として開発チームは、iOSアプリの潜在的な脅威を最小化するために相当な努力をしています。このプラットフォームをセキュリティ面でさらに高い水準に引き上げるのに必要なのは、わずかな調整だけです。これは、大いに称賛に値します」

Cure53によるiOSモバイルアプリの監査レポート全文を読む

弊社は、AndroidおよびiOS版モバイルアプリの監査で指摘されたすべてのフィードバックには対処しており、セキュリティチームが大半の問題を修正しました。今回修正を見送ったものは、アプリの使い勝手や機能に影響を与える可能性があるためで、Cure53もこれに同意しています。

プライバシー保護への取り組み

2つの新しいモバイルアプリの監査により、ExpressVPNの公開されたセキュリティ評価リストは合計13となりました。以下は、時系列に並べたこれまでの外部監査リストです。

• KPMG社によるノーログポリシーの監査（2022年9月）
• Cure53社によるLinuxアプリの監査（2022年8月）
• Cure53社によるmacOSアプリの監査（2022年7月）
• Cure53社によるAircoveルーターのセキュリティ監査（2022年7月）
• Cure53社による弊社VPNサーバー技術「TrustedServer」のセキュリティ監査（2022年5月）
• F-Secure社によるWindows v12アプリの監査（2022年4月）
• F-Secure社によるWindows v10アプリのセキュリティ監査（2022年3月）
• Cure53社による弊社VPNプロトコル「Lightway」のセキュリティ監査（2021年8月）
• PwCスイス社によるビルド認証プロセスの監査（2020年6月）
• PwCスイス社によるプライバシーポリシー遵守および自社技術「TrustedServer」の監査（2019年6月）
• Cure53社によるブラウザ拡張機能のセキュリティ監査（2018年11月）

弊社は、プライバシーとセキュリティ事業の拡大に伴い、さらに多くの第三者機関による定期的な検証を公表していきたいと考えています。

本文中のリンク記事の一部は翻訳されず、元の言語のままであることをご了承ください。