MochiuWiki : SUSE, EC, PCB

VPN - Nord VPN

概要

NordVPNは、通信に関するログを取らないVPNサービスであり、ユーザが使用したローカルまたは割り当てられたIPアドレス、接続履歴、トラフィックログ、DNSクエリを保持しない。
ただし、アカウント管理目的でメールアドレスおよび支払い情報は保持される。

NordVPNの特徴を、以下に示す。

  • ロケーション
    NordVPNは、プライバシーの安全な場所であるパナマに本社を構えており、パナマには、EU、イギリス、オーストラリアのようなデータを保持する法律がない。
    また、パナマは5つの目、9つの目、または14の目の国のメンバーではない。
  • セキュリティ
    NordVPNは、256ビットAESのデータ暗号化を提供している。
    これは、優れたファイアウォールと保護されたサーバと一緒に、NordVPNの安全性を最高級に保護している。
  • 通信速度
    以前、通信速度がNordVPNの弱点であったが、現在は最速のVPNサービスの1つになってきている。
    また、P2PやTorrentの速度も非常に優れており、Netflixのようなコンテンツをアンロックすることも可能である。
  • 契約
    Eメール、支払い方法、パスワードのみで、アカウントを作成することができる。
    つまり、ProtonMailのような匿名のメールサービスとBitcoinのような安全な支払い方法を用いることにより、NordVPNは完全な匿名性を求める人に提供できる可能性がある。
    クレジットカードや銀行振込等、別の支払い方法を利用する場合は、個人の銀行情報を提供する必要がある。



ノーログポリシーの検証

記録しないデータ

NordVPNが記録しないとしているデータは、以下の通りである。

  • ユーザの実際のIPアドレス
  • インターネットアクティビティログ (訪問したWebサイト、ダウンロード内容)
  • トラフィックデータ (通信内容)
  • DNS照会記録
  • VPN接続ログ (接続先サーバ、接続時刻等)


このノーログポリシーは、Standard VPN、Double VPN、Onion Over VPN、難読化サーバ、P2Pサーバの全てのサーバタイプに適用される。

記録するデータ

一方、アカウント管理目的で以下のデータは保持される。

  • メールアドレス
  • 支払い情報


したがって、NordVPNは一切のデータを保持しないわけではなく、通信に関するログを保持しない という意味でのノーログVPNである。

技術的な裏付け - RAMオンリーサーバ

NordVPNは全サーバをRAMオンリー (ディスクレス) 構成に移行済みである。

  • メモリ (RAM) 上でのみデータを処理し、ハードディスクにはデータを保存しない
  • サーバがシャットダウンまたは再起動された時点で、全てのデータが自動削除される
  • 不正アクセスやハードウェア押収が発生した場合でも、データ抽出が不可能


第三者監査の実施状況

NordVPNのノーログポリシーは、以下の通り複数回の独立した第三者監査で検証されている。

ノーログポリシー監査履歴
監査機関 結果
第1回 2018年 PricewaterhouseCoopers AG Switzerland (PwC) ノーログポリシーの遵守を確認
第2回 2020年 PricewaterhouseCoopers AG Switzerland (PwC) ノーログポリシーの遵守を確認
第3回 2022年 Deloitte Audit Lithuania ノーログポリシーの遵守を確認
第4回 2023年 Deloitte Audit Lithuania ノーログポリシーの遵守を確認
第5回 2024年 Deloitte Audit Lithuania ノーログポリシーの遵守を確認
第6回 2025年 Deloitte Audit Lithuania ノーログポリシーの遵守を確認


2024年の第5回監査 (2024年11月18日〜12月20日) では、ISAE 3000基準に基づき、ユーザの活動をユーザ個人に関連付けることが不可能な状態であることが検証された。

法的立場

NordVPNはパナマに本社 (Nordvpn S.A.) を置いており、以下の法的優位性を持つ。

  • パナマにはVPNプロバイダに対する強制的なデータ保持法が存在しない
  • パナマは5 Eyes、9 Eyes、14 Eyesのいずれの国際情報共有同盟にも属していない
  • 他国政府がNordVPNに対してデータ提供を強制するための法的メカニズムが制限されている


ただし、パナマの検察官から法的拘束力のある令状が発行された場合は、保持しているデータの開示に応じる。

捜査機関へのデータ提出事例

NordVPNが法執行機関にデータを提出した事例と、他社VPNの事例を以下に整理する。

2024年10月: パナマ検察からの令状

NordVPNはパナマの検察官から法的拘束力のある令状を受け、ユーザデータの開示に応じた。

  • 提供されたデータは、支払い情報およびアカウント存在確認のみ
  • トラフィックログ、接続ログ等は保持していないため提供不可能であった。
  • この事例を契機に、Warrant CanaryからTransparency Report (透明性レポート) への移行を開始


2024年1月〜4月の統計
  • 政府機関からの問い合わせ: 81件
  • DMCA請求: 約242万件
  • いずれもユーザ情報の開示には至らなかったと報告されている。


他社VPNの事例との比較
他社VPNのログ提出事例との比較
プロバイダ 事例 実態
PureVPN (2017年) FBIにサイバーストーキング事件のログを提供 ノーログと謳いながら詳細な接続ログを保持していた。
HideMyAss (2011年) FBIにLulzSecハッカーの接続データを提供 同様にログを保持していた。
NordVPN (2024年) パナマ検察に支払い情報のみ提供 トラフィックログは実際に存在せず提供不可能であった。


PureVPNやHideMyAssは、ノーログを謳いながら実際には詳細なログを保持していたのに対し、
NordVPNは第三者監査および実際の法的事例により、トラフィックログを保持していないことが裏付けられている。

セキュリティインシデント

2019年: サーバ侵害事件

2018年3月、フィンランドのCreanova Datacenterから借用していた約3,000台中1台のサーバが侵害された。

  • 原因
    データセンター側がIPMI (Intelligent Platform Management Interface) アカウントを未開示のまま放置していた。
  • ユーザのパスワード、課金情報、VPNログの流出はなし
  • 侵害の発見は2019年4月 (事件発生から約1年後)、公開は2019年10月 (発見からさらに6ヶ月後)


この事件を受けて、NordVPNは以下の改善策を実施した。

  • Creanovaとの契約を即座に解除
  • 全サーバをRAMオンリー (ディスクレス) 構成に移行
  • 自社管理コロケーションサーバの導入 (2020年10月〜)
  • バグバウンティプログラムの開始 (2019年10月〜)
  • VPN Trust Initiativeの創設メンバーとして参加


親会社に関する懸念

NordVPNの親会社であるNord Security (リトアニア) は、Tesonetというスタートアップインキュベーターの傘下にある。

  • Tesonetはデータ収集企業Oxylabsも保有しており、利益相反の可能性が指摘されている。
  • 企業構造の不透明さが批判されることがある。
  • ただし、複数の独立監査によりユーザデータが外部と共有されていないことは検証されている。


総合評価

下表に、NordVPNのノーログポリシーに関する総合評価を示す。

ノーログポリシー総合評価
観点 評価
ノーログの真正性 6回の独立監査で検証済み。
2024年の令状事例でも実際にログが存在しないことが裏付けられた。
捜査機関への対応 法的令状には応じるが、提供可能データは支払い情報のみ
他社VPNとの違い PureVPN、HideMyAssはノーログを詐称していたが、NordVPNは監査で裏付けあり
懸念事項 親会社Tesonetの企業構造の不透明さ、2019年侵害事件の公表遅延



Nord VPNの契約

Nord VPNの契約方法を以下に示す。

  1. まず、Nord VPNの公式Webサイトへアクセスして、画面上にある[価格]を選択する。
  2. 価格画面からプランを選択する。
    プランはスタンダード、プラス、コンプリートの3つのティアがあり、それぞれ1ヶ月、1年、2年の契約期間を選択できる。
    最もコストパフォーマンスが良いのは2年プランである。(3年プランは廃止されている)
    プランを選択後、アカウントの作成と支払い方法の選択をする。

    ※注意
    NordVPNはパナマ所在の企業であるため、クレジットカード会社が海外購入として制限を掛け、否決される可能性がある。
    PayPalまたは暗号通貨 (ビットコイン、イーサリアム、ライトコイン) での支払いを推奨する。

  3. 次に、[消費税適用外]項目から[日本]を選択して、[続ける]ボタンを押下する。
  4. ここでは、PayPalで決済するため、[Pay with PayPal]を選択して支払いを進める。
    支払いが完了すると、支払い受付画面に移動する。
  5. Nord VPNからE-mailが3通届くので、アカウントを有効化するために"NordVPN account activation"という件名のメールを開く。
  6. [Set Password and Activate Account]ボタンを押下すると、Nord VPNのWebサイトへ移動するので、パスワード設定とアカウントの有効化を行う。
    ここで入力するパスワードは、VPN接続する時のパスワードとなる。
  7. パスワードを設定すると、自動的にNord VPNソフトウェアのダウンロードが開始される。
    または、Nord VPNの公式Webサイトでも個別にダウンロードできる。



Nord VPNソフトウェアのインストール

RHEL

ターミナルを起動して、以下のコマンドを実行する。

sudo wget -qnc https://repo.nordvpn.com/yum/nordvpn/centos/noarch/Packages/n/nordvpn-release-1.0.0-1.noarch.rpm
sudo dnf update


Nord VPNソフトウェアをインストールするため、以下のコマンドを実行する。

sudo dnf install nordvpn


自分のNord VPNアカウントにログインする。

nordvpn login


Nord VPNサーバに接続する。

nordvpn connect
または
nordvpn c


SUSE

ターミナルを起動して、以下のコマンドを実行する。

sudo rpm -v --import https://repo.nordvpn.com/gpg/nordvpn_public.asc
sudo zypper install https://repo.nordvpn.com/yum/nordvpn/centos/noarch/Packages/n/nordvpn-release-1.0.0-1.noarch.rpm
sudo zypper addrepo /etc/yum.repos.d/nordvpn.repo


Nord VPNソフトウェアをインストールするため、以下のコマンドを実行する。

sudo zypper install nordvpn


自分のNord VPNアカウントにログインする。

nordvpn login


Nord VPNサーバに接続する。

nordvpn connect
または
nordvpn c


LinuxにおけるNord VPNコマンド
nordvpn login                  - ログイン
nordvpn login --token [トークン] - トークンを使用してログイン (GUI無し環境用)
nordvpn connect or nordvpn c   - VPNに接続する。特定のサーバに接続する場合は nordvpn connect <country_code server_number> (例: nordvpn connect uk715)
nordvpn disconnect or nordvpn d - VPNから切断する



nordvpn set or nordvpn s - 設定オプション:
nordvpn set threatprotectionlite on or off - Threat Protection Lite (DNSフィルタリング・広告ブロック) の有効化/無効化 (旧: cybersec)
nordvpn set killswitch on or off            - Kill Switchの有効化/無効化
nordvpn set autoconnect on or off           - 自動接続の有効化/無効化。特定サーバの自動接続: nordvpn set autoconnect on us2435
nordvpn set dns 1.1.1.1 1.0.0.1             - カスタムDNSの設定 (1つまたは2つ指定可能)
nordvpn set technology nordlynx or openvpn   - VPNプロトコルの切り替え
nordvpn set obfuscate on or off              - 難読化サーバの有効化/無効化
nordvpn set firewall on or off               - ファイアウォールの有効化/無効化
nordvpn set ipv6 on or off                   - IPv6サポートの有効化/無効化
nordvpn set lan_discovery on or off          - LANデバイス検出の有効化/無効化
nordvpn set post_quantum_vpn on or off       - ポスト量子暗号の有効化/無効化
nordvpn set notify on or off                 - 通知の有効化/無効化
nordvpn set tray on or off                   - システムトレイアイコンの有効化/無効化
nordvpn set defaults                         - デフォルト設定にリセット



nordvpn allowlist add port 22                          - ポート22をVPN例外リストに追加 (旧: whitelist)
nordvpn allowlist add port 22 protocol TCP             - プロトコル指定でポートを追加
nordvpn allowlist remove port 22                       - ポート22のルールを削除
nordvpn allowlist add subnet 192.168.0.0/16            - サブネットをVPN例外リストに追加
nordvpn allowlist remove subnet 192.168.0.0/16         - サブネットのルールを削除
nordvpn allowlist remove all                           - VPN例外リストの全ルールを削除



nordvpn settings  - 現在の設定を表示
nordvpn status    - 接続状態を表示
nordvpn account   - アカウント情報を表示
nordvpn countries - 利用可能な国一覧を表示
nordvpn cities    - 利用可能な都市一覧を表示
nordvpn groups    - 利用可能なサーバグループ一覧を表示
nordvpn version   - アプリケーションバージョンを表示
nordvpn logout    - ログアウト
nordvpn help or nordvpn h - コマンド一覧またはヘルプを表示


man nordvpnコマンドを使用して、コマンドの全リストを見ることができる。

Windows

Nord VPNソフトウェアのインストール手順を記載する。

  1. 上記セクションでダウンロードしたNordVPNSetup.exeを実行する。
  2. インストール先を選択するダイアログが表示されるので、必要であればフォルダを変更して[Next]ボタンを押下する。
  3. [Install]ボタンを押下してインストールを始める。
  4. [Finish]ボタンを押下してインストールを完了する。


Nord VPNソフトウェアを起動手順を記載する。

  1. Nord VPNソフトウェアの起動後、ログイン画面が表示されるので、Nord VPNで登録したメールアドレスとパスワードを入力して[Sign In]ボタンを押下する。
  2. ログインに成功すると、VPNサーバを選択する画面が表示される。
    メイン画面下の[Quick connect]ボタンを押下すると、近距離にあるVPNサーバが選択される。(日本国内から接続すれば、日本のVPNサーバが選択される)
  3. 接続したい国があれば、世界地図の上から選択する事もできる。
    例えば、ブラジルのVPNサーバに接続する場合、ブラジルを選択してから[Quick connect]ボタンを押下する。
    あるいは、メイン画面左から接続したい国を選択して接続することもできる。
  4. 接続が成功すると、国のアイコンが緑色に変化する。また、接続状態も[UNCONECTED]から[PROTECTED]に変化して[Connected to Brazil]と表示される。
  5. 切断する場合は、[Disconnect]ボタンを押下する。



Network Managerを使用したNord VPNの接続

  1. Nord VPNの公式Webサイトから、OpenVPN構成ファイルパッケージをダウンロードして解凍する。
  2. Network Managerの設定画面を起動する。(GNOMEの場合は、[VPNオフ]を選択後、ドロップダウンから[VPN設定]を選択する)
  3. 設定画面下にある[+]ボタンを押下する。(GNOMEの場合は、 [VPN]項目横にある[+]ボタンを押下する)
  4. 接続タイプは、[VPN接続をインポート...]を選択する。(GNOMEの場合は、[ファイルからインポート...]を選択する)
  5. 上記でダウンロードしたファイルから1つを選択して、[開く]ボタンを押下する。
  6. ポップアップウィンドウにNord VPNで取得したのユーザ名とパスワードを入力して、[追加]ボタンを押下する。
  7. 追加したNord VPNサービスの資格情報は、Nordアカウントダッシュボードで確認できる。右側のボタンを使用して認証情報をコピーします。
  8. 最後に、Network Managerの設定画面から、VPNオプションの下のスライダーを押下して、Nord VPNサーバに接続する。
    VPN接続が開始されると、スライダーは緑色に変化する。



Nord VPNソフトウェアの設定

Nord VPNソフトウェアのメイン画面右上にある歯車のアイコンを選択する。
設定項目は、[General]、[Auto Connect]、[Advanced]がある。

General

Nord VPNの[General]項目において、重要な項目は以下の2つである。

  • Start NordVPN on startup
  • Internet Kill Switch


[Start NordVPN on startup]項目は、初期設定で有効化されている。
OS起動時にNordVPNを動作させるため、[オン]にする。

[Internet Kill Switch]項目は、VPNを経由しない通信をすべて遮断する。匿名性を向上させるため、[オン]に設定する。
注意点として、Nord VPNに接続していない状態では、一切ネットワーク接続できなくなる点である。
VPNを切断してVPN非経由でインターネット接続する場合は、[Internet Kill Switch]項目を[オフ]に設定する必要がある。

Auto Connect

Nord VPNの[Auto Connect]項目では、自動接続設定を行う。
VPNクライアントを起動した際、自動的にVPN接続する場合は、[Connect when app starts]項目を[オン]に設定する。

また、外出先でWi-Fiに接続する可能性がある場合は、[Connect on insecure wireless]項目を[オン]に設定するとよい。

自動接続する国を選択したい場合は、[Auto connect to]項目で選択して、更に細かく指定する場合は[Preferred region]項目で指定する。
通常は、[Preferred region]項目は[Automatically pick best]に設定することを推奨する。


Double VPNで接続する

NordVPNのメリットの1つに、匿名性を高めるDouble VPNが存在する。
Double VPNを利用するとVPNサーバを2つ経由する。
ユーザが利用するISPには、1つ目のVPNサーバと通信している記録が残るが、最終的な接続先から見ると2つ目のVPNサーバから接続している記録が残る。
そして1つ目と2つ目のVPNサーバ間は通信を中継しているだけであるため、VPNサーバ間の通信記録にユーザの情報は残らない。
そのため極めて高い匿名性が確保される。

極めて高い匿名性を提供するDouble VPNであるが、利用方法は簡単である。

  1. Nord VPNのソフトウェアを起動する。
    メイン画面左にある[Double VPN]を選択すると、自動的にDouble VPNで接続できる。
  2. 接続するVPNサーバを指定する場合は、[Double VPN]の右側にある[...]を選択する。
  3. [Double VPN]画面が開くので、[Country:]プルダウンと[Server:]プルダウンを選択する。
    初期設定では、最適な国とサーバが自動的に選択される。
  4. [Country:]プルダウンでは1番目のサーバを選択して、[Server:]プルダウンでは2番目のサーバを選択する。



Tor over VPN

VPNネットワーク経由でTorに接続する方法であり、Torは終了ノードになる。

ISPからTorの使用を隠蔽でき、Torの入口ノードにユーザの実IPアドレスが公開されない。

NordVPNにはOnion Over VPNという組み込み機能があり、Tor over VPNを自動的に実現できる。
この機能を使用することにより、Torブラウザをインストールすることなく.onionサイトにアクセスすることが可能となる。

Onion Over VPN対応サーバの所在地はオランダおよびスイスであり、プロトコルはOpenVPNのみ対応している。(NordLynxは不可)

Onion Over VPN機能を使用する方法

NordVPNアプリのOnion Over VPN機能を使用する手順を以下に示す。

  1. NordVPNのソフトウェアを起動する。
  2. サーバーリスト内の[Specialty servers]を選択する。
  3. [Onion Over VPN]を選択して接続する。


Onion Over VPN機能をLinux CLIから使用する方法

以下に示すコマンドを実行することにより、Onion Over VPNに接続できる。

nordvpn connect onion_over_vpn


通常VPN接続にTorブラウザを組み合わせる方法

Onion Over VPN機能を使用せず、NordVPNの任意のサーバに接続した後にTorブラウザを起動する方法でもTor over VPNを実現できる。

  1. NordVPNのソフトウェア または NetworkManager等を使用して、VPNに接続する。
  2. Torブラウザの公式Webサイトにアクセスして、Torブラウザをダウンロードおよびインストールする。
  3. Torブラウザを起動して、[Connect]ボタンを押下する。
    Torブラウザの設定はデフォルトのままでよい。


なお、ダブルエンクリプションと複数のサーバホップにより、インターネット速度が大幅に低下する可能性がある。


VPN over Tor

VPN over Torとは、VPNサーバへの接続にTorネットワークを使用する構成である。

Torネットワークがブリッジとして機能するため、自宅のIPアドレスをVPNプロバイダに公開することなく、VPNに接続できる。
したがって、プライバシー、セキュリティ、匿名性への2重層を提供する。

ただし、NordVPNはVPN over Torを公式にはサポートしていない。
NordVPNおよびTor Projectともに一般ユーザへの使用は非推奨としており、設定誤りによるセキュリティリスクにも注意が必要である。

技術的には、OpenVPN設定ファイルを手動編集することでVPN over Torを実現できる。
ただし、速度の大幅な低下が発生するため、実用上の使用は困難を伴う場合がある。

手動設定による接続手順

以下に示す手順は公式サポート対象外であり、設定誤りのリスクがある。
そのため、十分に理解した上で実施すること。

  1. Torブラウザをインストールして起動して、Torネットワークへの接続を確立する。
  2. NordVPNのOpenVPN設定ファイルをダウンロードする。
  3. ダウンロードしたOpenVPN設定ファイル (.ovpn拡張子) ファイルをテキストエディタで開いて、以下に示す設定を追記する。 
    socks-proxy 127.0.0.1 9150
  4. 編集した設定ファイルを使用して、OpenVPNクライアントから接続する。



https://mochiu.net/index.php?title=VPN_-_Nord_VPN&oldid=14600」から取得