VPN - ExpressVPN
概要
ExpressVPNは、英領バージン諸島 (BVI) に登録されたVPNサービスプロバイダである。
105カ国以上にサーバを展開しており、AES-256暗号化、独自プロトコルのLightway、TrustedServer技術を採用している。
Windows、MacOS、Linux、Android、iOS、ルーター等に対応しており、最大8台のデバイスを同時接続することができる。
2009年に設立され、2021年にKape Technologiesが約9.36億ドルで買収した。
| メリット | デメリット |
|---|---|
| 高速通信と広いサーバネットワーク(105カ国以上) | 高価格帯 (競合他社と比較して割高) |
| 業界最多水準の第三者監査実績(19〜23件) | Kape Technologies買収による組織的信頼性への懸念 |
| TrustedServer(RAMオンリー)技術によるデータ保護 | Project Raven問題 (元CIOの監視プログラム関与) |
| 30日間返金保証 |
下表に、ExpressVPNの特徴を示す。
| 特徴 | 説明 |
|---|---|
| TrustedServer技術 | 全サーバがRAMのみで動作し、再起動時に全データが消去される仕組みである。 ディスクにデータが書き込まれないため、サーバが押収されてもユーザデータが残らない。 |
| Lightwayプロトコル | ExpressVPNが独自開発したVPNプロトコルである。 wolfSSLをベースとした高速・軽量・安全な接続を実現している。 |
| AES-256暗号化 | 軍事レベルの暗号化技術を採用している。 |
| 幅広いデバイス対応 | Windows、MacOS、Linux、Android、iOS、ルーター等、主要なプラットフォームに対応している。 |
| 第三者監査 | 業界最多水準の独立した監査を継続して受けている。 |
ExpressVPNの料金は、月額6.67ドルからである。(2026年時点、30日間返金保証付き)
ノーログポリシーの実態
ExpressVPNはノーログVPNを標榜しており、英領バージン諸島の法制度とTrustedServer技術を根拠として、データログを保存または共有していないと主張している。
公式ノーログポリシーの内容
ExpressVPNの公式プライバシーポリシーでは、以下のデータを一切保存しないと明記している。
- アクティビティログ
- ブラウジング履歴
- トラフィック宛先
- データ内容
- DNSクエリ
- コネクションログ
- ユーザのIPアドレス
- 発信VPN IPアドレス
- 接続タイムスタンプ
- セッション継続時間
収集されるデータは、アカウント管理に必要な最小限の情報 (メールアドレス、支払い情報) のみである。
TrustedServer技術により、全サーバがRAMのみで動作し、再起動時に全データが消去されるため、技術的にもログが残らない仕組みとなっている。
捜査機関への対応事例
ExpressVPNのノーログポリシーは、実際の捜査機関との対応においても有効性が確認されている。
- 2017年トルコ・ロシア大使暗殺事件
- 2016年12月、ロシア駐トルコ大使アンドレイ・カルロフが暗殺される事件が発生した。
- 暗殺者がExpressVPNを使用していたとされ、トルコ当局がExpressVPNサーバを物理的に押収した。
- 捜査官は指定IPアドレスを使用していたユーザの接続ログを求めたが、ExpressVPNは「接続ログを保持していない」と回答した。
- トルコ当局はログが存在しないことを確認し、ノーログポリシーが物理的押収においても機能していることが実証された。
- この事件以降、ExpressVPNはトルコ国内に物理サーバを設置せず、オランダのバーチャルサーバを提供している。
- 法執行機関からの要求と対応実績
- 2024年: 333件の政府・法執行機関からの法的要求を受けたが、ユーザ関連データは一切提供しなかった。
- 2025年上半期: 374件の正式な法執行機関要求を受けたが、一切のデータ提供を行わなかった。
- 2024年のワラント (令状): 3件受領したが、データ開示なし。2025年上半期はワラント0件であった。
第三者セキュリティ監査
ExpressVPNは、業界最多水準の独立した第三者監査を継続して受けている。
| 年月 | 監査機関 | 対象 | 結果 |
|---|---|---|---|
| 2019年6月 | PwC Switzerland | プライバシーポリシー、TrustedServer | ポリシー準拠を確認 |
| 2022年 | KPMG | ノーログポリシー (第1次) | 問題なし |
| 2024年11月 | Cure53 | Aircoveルーター (第2次) | セキュリティ監査完了 |
| 2025年2月 | KPMG | TrustedServer、ノーログポリシー (第2次) | 技術的保護に問題なし |
| 2025年6月 | KPMG | ノーログポリシー (第3次) | 合理的確証を提供 |
Lightwayプロトコルに対するCure53の監査では、5件の低度な問題と4件の情報通知が確認されたが、重大・高度・中度の問題は検出されなかった。
全ての監査はISAE (UK) 3000 Type 1に準拠している。
また、2025年にISO/IEC 27001、ISO 9001、ISO 18295-1 & 18295-2を取得している。
業界で最も多くの独立監査を実施しており、その件数は19〜23件に及ぶ。
管轄法域に関する情報
ExpressVPNの拠点である英領バージン諸島 (BVI) は、VPNプロバイダにとってプライバシー上有利な管轄法域とされている。
- データ保持に関する法律がない。
- 5 Eyes、9 Eyes、14 Eyes監視協定のいずれにも加盟していない。
これらの条件により、政府からの強制的なデータ開示命令を受けるリスクが低い環境となっている。
運営体制の変遷
| 時期 | 出来事 |
|---|---|
| 2009年 | 英領バージン諸島で設立 |
| 2019年12月 | Daniel GerickeをCIOとして採用 |
| 2021年9月 | Kape Technologiesが約9.36億ドルで買収を発表 |
| 2021年9月 | Daniel GerickeのUAE秘密監視プログラム「Project Raven」への関与が発覚。$335,000の罰金 |
| 2023年7月 | Daniel GerickeがExpressVPNを離職 |
Kape Technologies問題について、以下に示す。
- かつて、Crossriderとして知られており、2018年に名称変更した。
- カリフォルニア大学バークレー校とGoogleの共同研究 (2015年) において、広告注入ツールの主要関連企業として特定された。
- セキュリティコミュニティから、"マルウェア開発者がVPNを買収した"という懸念が提起された。
Daniel Gericke / Project Raven問題について、以下に示す。
- GerickeはUAE政府の秘密監視プログラム "Project Raven" に関与していた。
- 米国人、活動家、各国首脳のハッキングを含む作戦に参加していた。
- ゼロクリックエクスプロイトをKarmaというハッキングシステムに組み込んだ。
- $335,000の罰金を支払い、米国安全保障クリアランスを生涯剥奪された。
- ExpressVPNはGerickeの過去の「主要な事実」を事前に認識していたと主張している。
- 40人以上のExpressVPN従業員が内部で抗議した。
- Edward SnowdenがExpressVPNの使用中止を勧告した。
- Gerickeは2023年7月に離職した。
最新動向 (2024年〜2026年)
- 2025年4月
- Windows版アプリの脆弱性 (RDPトラフィックがVPNトンネルを迂回するバグ) が報告され、バージョン12.101.0.45で修正された。
- 透明性レポート
- 半年ごとに発行を継続している。(2024年下半期: 333件の政府要求、2025年上半期: 374件)
- Bug Bountyプログラム
- 2025年Q2は82件応募があり、5件が有効な脆弱性として確認された。
- ISO認証
- ISO/IEC 27001、ISO 9001、ISO 18295-1 & 18295-2を取得した。
留意点
ExpressVPNのノーログポリシーの技術的実装は、サーバ押収事件と複数の第三者監査によって裏付けられており、高い信頼性がある。
一方、Kape Technologies買収やProject Raven問題により、組織としての信頼性には相当な懸念が存在する。
Edward Snowden等信頼できるセキュリティ専門家がExpressVPNの利用を推奨していない点も留意が必要である。
技術は信頼できるが、組織への信頼は分かれているというのが現状の評価である。
ExpressVPNの契約方法
- ExpressVPNの公式Webサイトにアクセスする。
- 1ヶ月、6ヶ月、12ヶ月のいずれかのプランを選択する。
- メールアドレスを入力して、アカウントを作成する。
- 支払い方法を選択する。
クレジットカード、PayPal、Bitcoin、その他の暗号通貨が使用できる。 - 支払い完了後、ソフトウェアをダウンロードしてインストールする。
Tor over VPN
VPNネットワーク経由でTorに接続する方法であり、Torは終了ノードになる。
この方式では、ユーザのトラフィックはまずExpressVPNサーバーを経由し、その後Torネットワークに入る。
ISP (インターネットサービスプロバイダ) からはTorの使用が隠蔽され、Torの入口ノードからはユーザの実際のIPアドレスが隠蔽される。
- ExpressVPNアプリを起動して、VPNサーバーに接続する。
- Torブラウザの公式Webサイトにアクセスして、Torブラウザをダウンロードおよびインストールする。
- Torブラウザを起動して、[Connect]ボタンを押下する。
Torブラウザの設定はデフォルトのままでよい。
Tor over VPN方式のメリットを以下に示す。
- ISPからTorの使用を隠すことができる。
- Torの入口ノードにユーザの実際のIPアドレスが公開されない。
- 設定が簡単であり、特別な設定は不要である。
Tor over VPN方式のデメリットを以下に示す。
- Torの出口ノードからはトラフィックが見える可能性がある。(HTTPS通信の場合は暗号化されている)
- VPNプロバイダ (ExpressVPN) は、ユーザの実際のIPアドレスを知ることができる。
VPN over Tor
VPNサーバへの接続にTorネットワークを使用する方式を、VPN over Tor、あるいは、VPN through Torと呼ぶ。
ExpressVPNは、VPN over Torの構成を公式にサポートしておらず、非推奨としている。
ExpressVPNがVPN over Torを非推奨とする理由を以下に示す。
- Torの出口ノードの代わりにVPNプロバイダがトラフィックを見ることになるため、匿名性の向上がない。
- 信頼不要であるTorの設計に、VPNプロバイダという信頼要件を再導入してしまう。
- Torの速度低下というデメリットのみが残り、セキュリティ上のメリットがない。
ExpressVPNでTorを利用する場合は、上記のTor over VPN方式を使用すること。
