Cure53がNordVPNのセキュリティを再び評価

Cure53が実施したテスト内容

2025年、NordVPNはCure53に依頼し、アプリケーションおよびインフラの両方を対象とした包括的なセキュリティ評価を実施しました。Cure53はドイツに拠点を置くペネトレーションテスト専門企業で、15年以上にわたるソフトウェアテストの実績を有しています。

監査では、ホワイトボックステストおよびグレーボックステストによる一連のペネトレーションテスト（侵入テスト）が実施され、あわせて大規模なソースコードレビューも行われました。19名のシニアテスターがNordVPNのエンジニアと緊密に連携し、テストに必要なすべての資料へのフルアクセスが許可されました。この評価は2025年5月、6月、10月に実施され、プロジェクト全体で数十営業日にわたって行われました。

評価の対象範囲は、以下を含むNordVPNのさまざまなコンポーネントに及びました。

• Android、iOS、Windows、macOS、Linux向けアプリケーション
• Chrome、Edge、Firefox向けのブラウザ拡張機能
• マルウェアスキャンやネットワークフィルタリングを含む脅威対策関連コンポーネント
• NordAccountの認証および多要素認証（MFA）のフロー
• VPN、脅威対策、メッシュネットワーク、アカウントサービスに関わる中核API
• VPNサーバーおよびそれを支える関連インフラ
• サーバー環境内のコンテナ化されたサービス、認証ロジック、内部アクセス制御

Cure53監査で判明したこと

監査は比較的広範な範囲に及びましたが、Cure53は評価対象のいずれの部分においてもクリティカル（重大）な脆弱性は発見しませんでした。監査担当者はいくつかの項目を「重大度が高く、対応が必要」として指摘しましたが、それらの問題はすべてすでに修正済みで、各項目についてCure53による再確認も行われ、期待どおりに機能していることが検証されています。それ以外の指摘事項は、中程度から情報提供レベルに分類されるものでした。これはユーザーのセキュリティを脅かすものではなく、内部保護体制をより強化するための改善点にあたります。これらは、この規模のセキュリティレビューでは一般的に想定される内容です。また、こうした指摘事項に加え、サービスのいくつかの点については特に優れているとして、監査チームから評価されました。

安全性の高いクライアントアプリケーション

今回の監査により、当社のアプリケーションは、主要すべてのプラットフォームにおいて強固なセキュリティ対策を実装していることが確認されました。モバイル環境では、AndroidおよびiOSアプリが、安全なデータ保存、WebViewの厳格な制御、生体認証による保護、デバイスバインディングといった 高度なセキュリティ実践を採用しています。デスクトップ環境についても、安全なIPC（プロセス間通信）設計、堅牢なファイアウォールロジック、ディープリンクやファイル操作における適切な検証処理が行われている点が評価されました。

強固な認証とアカウント保護

NordAccountシステムは、Cure53によるテストにおいても高く評価され、安全なトークン管理、一貫した入力検証、PKCEなどの業界標準の正しい実装が確認されました。また、セッション分離および状態検証が適切に機能しており、一般的な認証バイパス攻撃を防ぐ仕組みが備わっていることも検証されています。

構造化され信頼性の高いAPI

バックエンドAPIにおいては、厳格なアクセス制御、十分なサニタイズ処理、機密操作の安全な取り扱いが確認されました。紹介システム、サブスクリプションのフロー、Meshnet APIなどの中核コンポーネントも、詳細なテストのもとで想定どおりに正常動作していることが確認されています。

強固な脅威対策ロジック

Cure53はマルウェア検知コンポーネントを精査し、ハッシュベースおよび機械学習を用いた両アプローチが安全に実装されていることを確認しました。また、スキャンエンジンや通信フィルタリング機構を回避できる手法は確認されなかったと報告されています。

安全性と耐障害性を備えたインフラストラクチャ

Cure53が当社のサーバー環境を調査した結果、VPNサーバーは適切にハードニングされており、制限の厳しいファイアウォールルールや強力なコンテナ分離が採用されていることが確認されました。監査担当者は、NordVPNの全体的なハードニング戦略が、サーバーセキュリティの強固な基盤を形成していると結論づけています。

NordVPNの対応

Cure53から監査結果が提出されると、当社のエンジニアチームは直ちにサービス改善に着手しました。最も緊急性が高いと判断された指摘事項から優先的に対応を行い、その後、是正措置が意図どおりに機能していることをCure53が確認しています。残りの項目についても、修正対応を完了するか、もしくは既存の安全対策が引き続き適切であることを確認するため、監査担当者とともに精査を行いました。

一部の指摘事項は、既知の制約や許容可能なリスクに分類されるものでした。これらは、コンポーネントを変更することで新たな複雑性を生み、結果としてセキュリティ向上につながらない可能性があるケースです。こうした場合には、Cure53と連携し、現行の保護対策が十分であることを検証しています。

2種類の完全版評価レポートは、NordVPNユーザーがアカウントを通じて確認できるほか、以下のリンクからもご覧いただけます。

NordVPNの安全性維持

セキュリティは継続的な取り組みが必要な分野であり、今回のような定期的なレビューは、潜在的な問題を早期に発見し、新たなサイバー脅威の侵入を防ぐうえで重要な役割を果たします。そのため NordVPN は、今後も独立したセキュリティ監査の実施や、可能な限りインフラの改善を行うことで、サービスの強化に継続的に投資していきます。

セキュリティ対策に終わりはなく、新たな評価のたびにサービスはさらに安全性を高めていきます。今回の最新のCure53によるテスト結果は、NordVPNのアプリケーションおよびシステムが引き続き十分に保護されていることを示しています。私たちは、サービスを利用するすべてのユーザーのために、これからも改善を続けていきます。

また、本監査を通じて徹底した調査と連携を行ってくれた Cure53チーム全体に感謝いたします。同社の専門知識は、NordVPNの安全性を守るという私たちの取り組みを支える重要な要素です。