Cure53社の監査でExpressVPNのパスワードマネージャー「Keys」の安全性を確認

第三者独立監査機関が、iOS、Android版ExpressVPNアプリに組み込まれたパスワードマネージャー機能を検証しました。
EXPRESSVPNのニュース特集記事
1 min
Magnifying glass over ExpressVPN Keys logo.

パスワードは、私たちのデジタルライフに欠かせないものです。しかし、一人ひとりが覚えなくてはいけないパスワードの数が多いこと、そしてパスワードを複雑にする必要性から、安全な保管と便利なアクセスのため、ExpressVPNのパスワードマネージャーが開発されることになりました。

弊社では今年の初めから、iOSおよびAndroid版のExpressVPNアプリとChromeブラウザ拡張機能向けに、VPNのサブスクリプションにデフォルトで含まれる無料パスワードマネージャーとして、ExpressVPN Keysベータ版の展開を開始しました。私たちは、Keysを安全なオンライン体験の1つの要素と考え、ログイン情報をゼロ知識暗号化で保護するように設計しています。これは、プライマリパスワードを知る個人だけがそのパスワードにアクセスでき、パスワード管理プロバイダであるExpressVPNでさえユーザーのパスワードにアクセスすることができないことを意味します。

さらに、ExpressVPN Keysのセキュリティを社内の内部テスト以上に検証するため、iOSおよびAndroidアプリに組み込まれているExpressVPN Keysを独立監査するよう、Cure53社に依頼しました。この監査は、Cure53社が最近行った弊社のAndroidおよびiOSモバイルアプリの評価の一環であり、アプリのセキュリティをより広範に調査するためのものです。 

ExpressVPNのペネトレーションテストマネージャーであるBrian Schirmacherは、次のように述べています。

「弊社はプライバシーとセキュリティをすべての中心に据え、ExpressVPN Keysが、VPNユーザーの期待するセキュリティ基準を満たしていることを確認したいと考えました。弊社のパスワードマネージャーは、業界で最も高度な暗号化を使用しており、ユーザー以外の誰も個人のアカウント詳細とパスワードにアクセスできないように設計されています。Cure53社による監査の結果で、これを裏付けることができました」

ExpressVPN Keys 設計の中核はセキュリティ

弊社のAndroidおよびiOSモバイルアプリのセキュリティ評価は、ホワイトボックス侵入テストとソースコード監査によって実施されました。Androidアプリの監査は8月に、iOSの監査は8月下旬から9月上旬に行われています。 

Cure53社は、両アプリに脆弱性がないことを特定し、監査で情報における問題として指摘されたのは、Androidで2つ、iOSで1つだけでした。ExpressVPN Keysの評価が非常に高いことは喜ばしいことです。

Cure53社は報告書で、「ログイン情報はフレームワーク全体にとって重要であるため、保存データのセキュリティは厳密に評価しました。この点で、パスワードマネージャーが認証情報を保存するために採用している暗号化機能は、全体として堅牢な印象です」と述べています。

弊社のセキュリティチームは、指摘されたすべての情報における問題に対処し、Cure53社と検討しました。当該監査結果は、パスワードマネージャーの強固なセキュリティ基盤を証明するものであり、「開発チームにとって格別に良好な結果」として報告書内でも言及されています。

Cure53社によるAndroidアプリiOSアプリの監査結果はこちらからご覧ください。

ExpressVPN Keysブラウザ拡張機能の監査は現在実施中であり、結果が発表され次第、皆様にお伝えしたいと思います。

第三者セキュリティ監査への定期的取り組み

この1年、私たちはソフトウェア監査を頻繁に依頼しました。以下に外部監査の実績を時系列でご紹介します。

  • KPMG社によるノーログポリシーの監査(2022年9月)
  • Cure53社によるLinuxアプリの監査(2022年8月)
  • Cure53社によるmacOSアプリの監査(2022年7月)
  • Cure53社によるAircoveルーターのセキュリティ監査(2022年7月)
  • Cure53社による弊社VPNサーバー技術「TrustedServer」のセキュリティ監査(2022年5月)
  • F-Secure社によるWindows v12アプリの監査(2022年4月)
  • F-Secure社によるWindows v10アプリのセキュリティ監査(2022年3月)
  • Cure53社による弊社VPNプロトコル「Lightway」のセキュリティ監査(2021年8月)
  • PwCスイス社によるビルド認証プロセスの監査(2020年6月)
  • PwCスイス社によるプライバシーポリシー遵守および自社技術「TrustedServer」の監査(2019年6月)
  • Cure53社によるブラウザ拡張機能のセキュリティ監査(2018年11月)

注:ExpressVPN Keysは徐々に展開されているため、すべてのユーザーがすぐにアクセスできない可能性があります。ExpressVPN Keysのベータ版は、現在、iOSとAndroid版アプリ、およびChrome拡張機能で利用可能です。こちらから、ベータプログラムにご参加ください

本文中のリンク記事の一部は翻訳されず、元の言語のままであることをご了承ください。

Phone protected by ExpressVPN.
プライバシーを守りましょう

30日間返金保証

A phone with a padlock.
強力なプライバシー保護でオンラインの利用をより安全に

30日間返金保証

VPNとは?
ExpressVPNはあなたのオンラインセキュリティとプライバシーのためにあります。このアカウントからの投稿は、会社のニュースやセキュリティとプライバシーに関する重要な話題を中心に取り上げます。