32blogby Studio Mitsu

NordVPNは危険?安全性を技術的に検証する

NordVPNの危険性・安全性を技術的に検証。2018年侵害、ノーログ監査、Tesonet問題まで一次ソースで裏取りする。

by omitsu18 min read
VPNNordVPNsecurity

当記事にはアフィリエイト広告が含まれています

目次

結論から言うと、NordVPN は安全だ。Big 4による6回のノーログ監査、RAM-onlyサーバー、Cure53のセキュリティ監査、HackerOneバグバウンティがその根拠になる。ただし「安全です」と根拠なく言うだけでは意味がないので、この記事では主要な懸念を一つずつ一次ソースで検証する。

「NordVPNは危険」——検索するとそんな記事がいくつも出てくる。しかし、その多くは具体的な技術根拠なく不安を煽るか、逆に根拠なく「安全です」と結論づけている。一つずつ調べてみると、どちらの極論よりもニュアンスのある実態が見えてきた。

脅威モデル4つの懸念検証開始暗号化監査第三者検証裏取りインフラ検証RAMサーバー結論安全と判断根拠付き結論

NordVPNが「危険」と言われる理由

NordVPNに対する懸念は、大きく4つに分類できる。

  1. 2018年のサーバー侵害 — サーバー1台が不正アクセスを受けた
  2. ノーログポリシーへの不信 — 本当にログを保持していないのか
  3. 運営会社の不透明さ — パナマ法人、Tesonet/Oxylabsとの関係
  4. VPN自体の限界VPNを使えば何でも安全になるわけではない

1〜3はNordVPN固有の問題、4はVPN業界全体の問題だ。以下、それぞれを検証する。

2018年サーバー侵害の検証

NordVPNの信頼性を語るとき、2018年のインシデントは避けて通れない。一次ソース——NordVPNの公式声明、データセンターの記録、独立した報道——を突き合わせて、何が起きたのかを整理した。

何が起きたか

2018年1月〜3月にかけて、フィンランドのデータセンター(Creanova Hosting Solutions)に設置されたNordVPNのサーバー1台が不正アクセスを受けた。主要な侵入は2018年3月5日に発生している。

原因は データセンター側がNordVPNに無断で残していたリモート管理システム(iLO/iDRAC) の脆弱性だった。NordVPN自身のシステムやソフトウェアの問題ではなく、ホスティング事業者の過失だ。

何が漏洩したか

攻撃者はTLSキー3本とOpenVPN CAキーを取得した(いずれも侵害時点では有効で、2018年10月に期限切れ)。しかし:

  • VPNトラフィックの復号は 不可能 だった(TLSキーとVPN暗号化キーは別物)
  • ログは保持されていなかったため ユーザーデータの漏洩はゼロ
  • 影響を受けたのは 1台のサーバーのみ ——利用者は推定50〜200人

NordVPNの対応

  • 該当データセンターとの契約を即座に解除
  • 全サーバーインフラの監査を実施
  • RAM-onlyサーバーへの全面移行 を加速(2022年に完了)
  • HackerOneバグバウンティプログラムを開設(報奨金最大$50,000)
  • コロケーションサーバー への全面移行を完了——自社管理のハードウェアのみで運用し、第三者データセンターのリスクを排除

批判されるべき点

インシデント自体よりも批判すべきは 情報公開の遅延 だ。Creanovaが2019年4月までNordVPNに侵害を通知しなかったという事情はあるが、NordVPNが知ってから公表した2019年10月まで、さらに約6ヶ月のタイムラグがある。侵害発生から公表まで約1年半。NordVPNは「全インフラの監査が完了するまで公表を控えた」と説明しているが、ユーザーへのより早い開示が望ましかったのは間違いない。

ノーログは本当か:監査の中身

「ノーログ」を謳うVPNサービスは多いが、第三者の独立監査を受けているサービスは少ない。正直、「ノーログ」はマーケティング用語になりつつあると思っていた。だからこそ監査の中身を確認する価値がある。

6回の監査実績

NordVPNは2018年から2025年まで 6回のノーログ監査 を受けている。詳細は監査報告ページで公開されている。

監査機関基準
第1回2018年PricewaterhouseCoopers (PwC)
第2回2020年PricewaterhouseCoopers (PwC)
第3回2022年DeloitteISAE 3000
第4回2023年DeloitteISAE 3000
第5回2024年DeloitteISAE 3000
第6回2025年DeloitteISAE 3000

第1・2回はPwC(Big 4)、第3回以降はDeloitte(Big 4)が担当している。ISAE 3000——非財務保証業務の国際基準——への移行で、監査のハードルが大幅に上がった。

監査で何を検査したか

第6回監査(2025年11月10日〜12月12日)ではDeloitte Lithuaniaが5週間にわたり検査を実施:

  • VPNサーバー — 通常のVPNサーバー、Double VPN、Onion over VPN、難読化サーバー
  • 設定ファイル — サーバーの設定内容とデプロイプロセス
  • 技術ログ — システムが生成するログの内容と保持期間
  • スタッフインタビュー — 運用チームのプロセスと手順

結論:「NordVPNのアーキテクチャはIPアドレスやタイムスタンプなどのユーザー識別メタデータを意図的に収集しない設計になっている」

Cure53セキュリティ監査(2025年)

ノーログ監査とは別に、ベルリンの著名なセキュリティ企業Cure53が2025年5月・6月・10月に大規模なペネトレーションテストを実施した。対象はAndroid・iOS・Windows・macOS・Linuxアプリ、ブラウザ拡張、Threat Protection、コアAPI、サーバーインフラ。

結果: クリティカルな脆弱性はゼロ 。高深刻度の問題が5件(コマンドインジェクション、セッション管理、権限昇格)見つかったが、いずれもNordVPNが修正し、Cure53が修正を検証済み。この規模の外部監査を自主的に受けること自体が、セキュリティに対する姿勢の表れだ。

RAM-onlyサーバーが意味すること

2022年以降、NordVPNの全8,000台以上のサーバーは ディスクレスのRAM-only で動作している。電源を切れば全データが消失する。仮にサーバーが物理的に押収されても、取得できるデータはない。

6回の監査とRAM-onlyサーバーの組み合わせは、VPN業界で最も強力なノーログの証拠だ。ただし、ノーログの「完全な証明」は技術的に不可能であることも理解しておくべきだ。

監査実績と技術仕様を確認した上で試したいなら、NordVPN公式サイトから30日間の返金保証付きで始められる。

運営会社の透明性

パナマ法人の意味

NordVPNの運営会社 nordvpn S.A. はパナマに法人登記されている。「パナマ=怪しい」という印象を持つ人もいるが、これは 法的な意図 がある。

パナマには:

つまり、政府機関からデータ提出を求められても法的義務がなく、そもそもログを保持していないため提出するデータがない。

実際の開発拠点はリトアニア(ビリニュス)で、オフィスはベルリンやアムステルダムにもある。パナマに法人を置いているのは、ユーザーのプライバシーを法的に守るための選択だ。Protonがスイスに本拠を置くのと同じ発想だ。

Tesonet問題

NordVPNに対するもう一つの懸念は、リトアニアのIT企業 Tesonet との関係だ。

TesonetはOxylabs(プロキシ/データスクレイピングサービス)の親会社でもある。「VPNプロバイダがデータ収集企業と同じグループ?」という疑念が生まれた。

事実関係:

  • TesonetはNord Securityの初期投資家・インキュベーターで、共同創業者が共通している
  • Nord Securityは現在、独立した経営体制で運営されている
  • NordVPNがOxylabsとユーザーデータを共有している証拠は 確認されていない
  • 6回のノーログ監査で、データ共有の仕組みは検出されていない

この問題は「疑念がある」のは事実だが、「データが共有されている」ことを示す証拠は現時点で存在しない。Deloitteの監査チームが5週間にわたってNordVPNのシステム全体にアクセスした上で何も見つからなかったのだから、この懸念は対処済みと見るのが合理的だ。

VPN自体のリスクと限界

最後に、NordVPN固有ではなく VPN全般 に共通する限界を整理する。VPNの基本を知りたい方はVPNとは何か:初心者向けガイドを参照。

VPNが守れないもの

  • マルウェア — VPNは通信を暗号化するが、悪意のあるファイルは検知できない。Threat Protection Proを有効にするか、別途ウイルス対策ソフトを使う
  • フィッシング — 偽サイトにログイン情報を入力したら、VPNの有無に関係なく漏洩する。フィッシングメールの見分け方も参考に
  • アカウント乗っ取りパスワードの使い回しやソーシャルエンジニアリングにはVPNは無力
  • 接続先でのログ — VPNはISPからIPアドレスを隠すが、Googleにログインすれば行動履歴はGoogleに記録される

VPNで匿名になれるか

VPNはIPアドレスを変更し、通信を暗号化する。しかし 完全な匿名性は提供しない

  • ブラウザのフィンガープリント、Cookie、ログイン状態で個人は特定されうる
  • 完全な匿名性が必要なら、Tor Browser + VPN + OSレベルの対策(Tails OS等)を検討する

VPNは「プライバシーの強化ツール」であって、「匿名化ツール」ではない。この区別を混同すると、どんなVPNサービスを使っても期待外れになる。

NordVPN

世界最大級のVPN。高速・安全・使いやすい

  • 6,400+サーバー(111カ国)
  • 独自プロトコルNordLynx(WireGuardベース)
  • Threat Protection Pro(広告・マルウェアブロック)

よくある質問

NordVPNは2026年現在も安全?

安全だ。PwCとDeloitteによる6回のノーログ監査、Cure53のペネトレーションテストでクリティカル脆弱性ゼロ、RAM-onlyサーバー、報奨金最大$50,000のHackerOneバグバウンティ——これらの根拠を持つVPNプロバイダーはほぼない。

NordVPNはハッキングされたことがある?

2018年3月、フィンランドのデータセンターのサーバー1台が、ホスティング事業者が残したリモート管理ツール経由でアクセスされた。ログが存在しなかったためユーザーデータの漏洩はゼロ。現在はすべてコロケーション(自社管理)のRAM-onlyサーバーに移行済み。

NordVPNはログを保持している?

していない。NordVPNのノーログポリシーはBig 4監査法人(PwCとDeloitte)によりISAE 3000基準で6回検証されている。RAM-onlyサーバーアーキテクチャにより、仮にデータを保存しようとしても電源を切れば消失する。

NordVPNは中国企業に所有されている?

されていない。NordVPNの開発元はNord Securityで、リトアニアのIT企業Tesonetがインキュベーターだった。運営法人はプライバシー管轄のためパナマに登記されている。中国資本の所有や出資はない。

NordVPNは通信内容を見れる?

見れない。RAM-onlyサーバーアーキテクチャと監査済みのノーログポリシーにより、接続ログ・トラフィックデータ・閲覧履歴はサーバーに保存されない。DeloitteとCure53の監査がこのアーキテクチャを確認している。

NordVPNはネットバンキングに安全?

安全だ。NordVPNは通信を暗号化するため、特に公共Wi-Fiでのトラフィック傍受リスクを軽減できる。ただしVPNは基本的なセキュリティ対策の代替にはならない——強力なパスワードと二要素認証は必須。

NordVPNがパナマに法人を置いている理由は?

パナマにはVPNプロバイダーに適用されるデータ保持法がなく、Five Eyes / Nine Eyes / Fourteen Eyesの監視同盟の管轄外にある。ユーザーデータの保存・提出の法的義務がないことが、プライバシー保護の観点で有利だ。

まとめ

NordVPNに対する主要な懸念と、検証結果をまとめる:

懸念検証結果
2018年サーバー侵害ユーザーデータ漏洩なし。対応としてRAM-only移行・監査・バグバウンティを実施
ノーログの信頼性Big 4による6回の独立監査(ISAE 3000)で確認済み。8,000台以上のRAM-onlyサーバー
Cure53セキュリティ監査クリティカル脆弱性ゼロ。高深刻度5件は修正・検証済み
パナマ法人プライバシー保護のための法的選択。Five Eyes管轄外
Tesonet問題初期投資の関係。6回の監査でデータ共有の証拠なし

NordVPNは完璧ではない。情報公開の遅延は批判されるべきだ。しかし、6回のノーログ監査、Cure53ペネトレーションテスト、RAM-onlyコロケーションサーバー、$50Kバグバウンティプログラムなど、セキュリティ面での取り組みはVPN業界でトップクラスと言える。

「危険かどうか」の答えは、証拠に基づいて判断すれば、技術的な安全性は業界最高水準だ。

関連記事: