サイバーセキュリティ企業であるNordVPNは、このたび大規模な独立評価を完了し、アプリケーション、インフラ、および主要機能に対するセキュリティと透明性への取り組みを改めて示しました。評価はドイツのサイバーセキュリティ企業Cure53によって2025年5月、6月、10月に実施され、NordVPNの強固なセキュリティ体制とユーザープライバシー保護へのコミットメントが確認されました。
「セキュリティは、NordVPNが提供するすべてのサービスに組み込まれています。サービス全体を強固に保つために、Cure53に大規模なセキュリティ評価を依頼しました」と、NordVPN CTOのマリユス・ブリエディスは述べています。「評価により、当社の取り組みの優れている点と改善すべき点が明らかになりました。重大な脆弱性が見つからなかったことを誇りに思います。また、発見された課題については、すでに内部保護の強化に向けて対応を行っています。」
2025年、Cure53はホワイトボックスペネトレーションテストとソースコードレビューを実施し、19名のシニアテスターが参加しました。今回の評価範囲は過去より大幅に拡大し、以下の領域が対象となりました。
- アプリケーション:Android、iOS、Windows、macOS、Linux向けアプリに加え、Chrome、Edge、Firefox向けのブラウザ拡張機能
- 主要コンポーネント:脅威対策コンポーネント、NordAccount認証、多要素認証(MFA)フロー
- インフラ:この規模の公開レポートとしては初めて、VPNサーバー、コンテナ化されたサービス、認証ロジック、サーバー環境内の内部アクセス制御が評価対象に含まれました。
主な結果
幅広い評価範囲にもかかわらず、Cure53はどの領域からも重大な脆弱性を発見しませんでした。監査チームは、特に以下の点でサービスが優れていると評価しています。
- 安全なクライアントアプリケーション:モバイルおよびデスクトップアプリは、安全なデータ保存、バイオメトリクス保護、堅牢なファイアウォールロジックなど、厳格なセキュリティ実践に従っていることが確認されました。
- 強固なインフラ:NordVPNのサーバーは適切にハードニングされており、制限されたファイアウォールルールや強力なコンテナ分離が実施されていることがCure53によって確認されました。
- 強力な認証:NordAccountシステムはテストに対して高い耐性を示し、安全なトークン処理や業界標準の正しい実装によって、一般的な回避手法を防いでいることが確認されました。
即時対応
重大な問題は見つかりませんでしたが、監査人から注意が必要な項目が指摘されました。NordVPNのエンジニアは最も緊急度の高い項目にすぐに対応し、Cure53はこれらの修正が意図通りに機能していることを確認しました。
「セキュリティへの取り組みに終わりはなく、各評価がサービスをさらに安全にする助けとなります」とブリエディスは述べています。「最新のテスト結果は、NordVPNのアプリケーションとシステムが引き続き十分に保護されていることを示しており、当社のサービスを利用するすべてのユーザーのために今後も改善を続けていきます。」
詳細な結果は、アプリケーションとインフラを対象とした2つの個別のレポートにまとめられています。これらのレポートは、当社ウェブサイトのユーザーコントロールパネル、または以下の直接リンクからアクセスできます。
https://sb.nordcdn.com/m/698dd484b2f47d7d/original/Pentest-Report_NordVPN_VPN_Servers_-_Infra.pdf
NordVPNについて
NordVPNは、世界中の何百万人ものインターネットユーザーに選ばれている、世界で最も高度なVPNサービスプロバイダーです。同サービスは、専用IP、Double VPN、Onion Over VPNサーバーなどの機能を提供し、追跡ゼロでオンラインプライバシーを強化します。NordVPNの主要機能のひとつである脅威対策Pro(TM)は、悪意あるウェブサイト、トラッカー、広告をブロックし、ダウンロードファイルをマルウェアから保護するツールです。
NordVPNの親会社であるNord Securityの最新のプロダクトは、Sailyという旅行者向けeSIMアプリです。NordVPNはユーザーフレンドリーなことでも知られ、業界で最も競争力のある価格を提供しています。また、世界127か国・165地点をカバーしています。詳細はhttps://nordvpn.comをご覧ください。
公式フェイスブックページ