ExpressVPNは2009年に設立され、強制的なデータ保持法が存在しない英領バージン諸島の管轄下で運営されています。2021年9月、カイプ・テクノロジーズは同社を9億3600万ドルで買収しました——これはVPN業界史上最大の買収案件です。ExpressVPNを評価するうえで、カイプの歴史は中心的な要素となります。同社は2011年から2018年までCrossriderとして運営し、ブラウザ拡張機能に広告を挿入するプラットフォームを展開していました。シマンテックはCrossriderのソフトウェアをマルウェアとして警告し、Googleは潜在的に望ましくないアプリケーションを配布していると特定しました。カイプの筆頭株主であるテディ・サギ氏は、1990年代に証券詐欺で実刑判決を受けています。カイプはまた、CyberGhost、PIA、ZenMate、そして重要なことに、レビューサイトのvpnMentorとWizCaseも所有しており、これらのサイトはカイプ傘下のVPNを上位にランク付けしています。
ダニエル・ゲリッケ問題はさらなる懸念を加えました。2019年12月にCIOとして採用されたゲリッケ氏は、以前プロジェクト・レイヴンに関与していました——これは、ゼロクリック型エクスプロイトを使用して米国市民、外国人ジャーナリスト、人権活動家を標的にしたUAE政府の監視活動です。彼はDOJとの起訴猶予合意の下、33万5000ドルの罰金を科されました。ExpressVPNは採用前から重要な事実を把握していたと認め、彼の攻撃側の経験が防御的なセキュリティの向上に貢献すると主張しました。エドワード・スノーデン氏は同社の判断を公に疑問視しました。ゲリッケ氏は2023年7月に退社しています。
この所有構造を背景としながらも、ExpressVPNの技術的なセキュリティインフラは真に印象的です。TrustedServerはハードドライブを一切使用せず、完全にRAM上で動作します——再起動のたびに、暗号署名された新鮮なOSイメージが読み込まれ、サーバーは週次のアップグレードサイクルによりすべての過去データが消去されます。このアーキテクチャはPwC(2019年)、Cure53(2022年)、KPMG(2022年・2023年・2025年)による監査を受けています。ノーログポリシーは2017年に現実の場で検証されました。トルコ当局が暗殺事件の捜査中に物理サーバーを押収しましたが、ユーザーデータはゼロでした。
社内開発されGitHubでオープンソース化されたLightwayプロトコルは、メモリ安全性のためにCからRustへ2025年に書き直されました。同年導入されたLightway Turboは、マルチレーントンネリングとカーネルレベルのデータチャネルオフロードを使用し、Windows上で最大1,479 Mbpsの速度を達成します——ただし現時点ではWindows限定の機能です。標準のLightwayは独立したテストで200〜300 Mbpsを記録しており、競争力はあるものの、ほとんどの直接比較ではNordVPNのNordLynxより遅い結果となっています。
NIST標準であるML-KEMを使用したポスト量子暗号は、LightwayとWireGuardの両方でデフォルトで展開されており、ExpressVPNは複数のプロトコルにわたってPQ保護を提供する最初のプロバイダーの一つとなっています。WireGuardのサポートは2025年8月にポスト量子統合とともに追加されました。
サーバーネットワークは105か国以上・160か所以上にわたる3,000台以上のサーバーで構成されています。ExpressVPNは中国、イラン、UAE、ロシア、サウジアラビアでの検閲を安定して回避します——これは多くの競合他社が持たない重要な能力です。ストリーミングの解除能力は業界で一貫してトップクラスであり、20以上のNetflixライブラリ、Disney+、プライムビデオ、BBC iPlayer、Hulu、HBO Max、DAZNへの確認済みアクセスが可能です。
重大なセキュリティ上の失敗として、WindowsのスプリットトンネリングにおけるDNSリーク(CVE-2024-25728)が挙げられます。これは2022年5月から2024年2月まで——21か月間——存在し、スプリットトンネリングが有効な場合にDNSリクエストがVPNトンネルをバイパスしていました。ExpressVPNは影響を受けたWindowsユーザーは1%未満と推定しています。対応としては、2件の根本原因分析、Nettitudeへの委託によるペネトレーションテスト、および修正が完了するまでのスプリットトンネリングの一時無効化が行われました。
料金体系は2025年9月に3段階に再編されました:ベーシック(2年プランで月額2.44ドル、10接続)、アドバンスト(月額4.49ドル、パスワードマネージャーとID監視を追加)、プロ(月額7.49ドル、専用IPを追加)。月払い料金は業界最高水準の12.99ドルのままです。支払い方法にはクレジットカード、PayPal、ビットコイン、Apple Pay、Google Payが含まれ、30日間の返金保証が付きます。
注目すべき不足点として、ポートフォワーディング(すべてのサーバーで利用不可)、マルチホップルーティング、オープンソースのクライアントアプリが挙げられます——公開されているのはLightwayコアライブラリのみです。スプリットトンネリングはiOSでは利用できません。これらの欠点は、ExpressVPNのプレミアム価格帯においてより際立って感じられます。
ExpressVPNは2022年6月、CERT-Inのデータ保持義務への準拠を拒否し、インド国内のすべての物理サーバーを積極的に撤去し、インドのIPアドレスにはシンガポールと英国の仮想サーバーへ切り替えました。透明性レポートによると、2025年には529件の政府要請と244万件のDMCA苦情がありましたが、いずれのケースでもデータの開示はゼロでした。
同社はISO 27001、9001、18295の認証取得に取り組んでおり、ISO 27701(プライバシー)とISO 42001(AI)は2026年を目標としています。2025年11月に開始されたEventVPN無料ティアは、プレミアムインフラ上で動作し、ポスト量子保護とノーログを備えており——ほとんどの無料VPNサービスとは対照的な存在です。