VPN大全 デジタルプライバシー Weeklyレポート 2026年4月第5週

2026年4月27日〜5月3日のデジタルプライバシー関連ニュースをまとめてお届けします。

今週のポイント

今週はプライバシーツール側の問題が多く報告されました。VPNの47%でキルスイッチが機能しないというテスト結果、MullvadによるiOSのIPリーク指摘、匿名メッセンジャーSessionの事業停止リスクなど、ユーザーが頼りにしてきた仕組みの足元が揺らいでいます。

一方で、ユタ州のVPNを意識した年齢確認新法、ロシアのホワイトリスト方式接続、ギリシャのSNS匿名禁止計画、米国のAIコンパニオン規制など、あらゆる層で規制が強化されています。

ヘッドライン

VPN・インターネット規制

主要VPNの47%でキルスイッチが正常に機能しない

キルスイッチとは、VPN接続が予期せず切断された際にインターネット通信そのものを遮断する機能で、これが動作しないとユーザーの実IPが漏れる可能性があります。

VPNテストサイトのtestvpn.comが30本のVPNサービスのキルスイッチ機能を検証したところ、合格は16本にとどまり、14本では実IPアドレスが露出したとのことです。

NordVPN、Surfshark、Proton VPN、ExpressVPNなど主要なサービスは合格しています。

• thebestvpn：Do VPN Kill Switches Work? We Tested 30 VPNs to Find Out

Mullvadが指摘 iOSにIPアドレスリークの未修正不具合

VPNサービスのMullvadが、iOSのネットワーク設計には未修正のIPアドレスリーク不具合があると指摘しました。Apple側はアプリ更新時などにリークを防ぐ機能を用意しているものの、有効化すると通信不能となり再起動でも復旧しない無限ループに陥る、無効のままだとリークする、という状況のようです。

Mullvadは独自に「Force all apps」機能を用意して回避を試みていますが、これも特定の条件下で通信が止まるため、ユーザーが手動でOFFにする必要があります。

OSレベルでの根本対応が放置されたままで、iOSユーザーがVPNに期待しているリーク防止の前提が崩れている状態です。

• Mullvad VPN：Force all app traffic into the tunnel

ロシア海外トラフィック課金 通信事業者が秋までの延期を要求

ロシア政府は2026年5月1日より、月15GBを超える「海外トラフィック」に1GBあたり150ルーブル（約320円）を課金する予定です。しかし通信事業者側は準備が整わず、最低でも秋までの延期を求めています。

未確定とされている論点は次の3点です。

• 「海外トラフィック」の定義が不明で、技術的に切り分けが困難
• 国内企業の業務通信に多大な影響が出る可能性
• 未払時の対応（切断・速度低下・強制徴収）が決まっていない

本制度がどのような形で稼働するかは、5月以降の動向で判断する必要があります。

ロシアが対独戦勝記念日に向けてホワイトリスト方式の接続規制を導入

ロシアが、政府や銀行系など約120サイトのみの通信を許可するホワイトリスト方式の規制を導入しました。中国が運用しているブラックリスト方式（特定サイトをブロック）と異なり、許可された宛先以外には基本的に通信できない、より厳しい仕組みです。

5月9日の対独戦勝記念日に向けたパレードと予行演習を控えた一時的な措置とみられていますが、実装と運用ノウハウは今後の通常運用にも転用される可能性があります。

• gazeta.ru：Жители Подмосковья пожаловались на домашний интернет по белым спискам

LetsVPN（快连VPN）が中国本土向けサービスを終了

中国で人気の高かったLetsVPN（快连VPN）が、中国本土向けのサービス提供を終了しました。中国語圏のSNSでは大きな話題となっていますが、撤退に乗じて他のVPNサービスへ誘導するステマ投稿が大量に混じっており、正確な状況は把握しづらい状況です。

確かなのは、中国でVPN規制が強化されていることです。

• LetsVPN：致快连（LetsVPN）用户

監視・プライバシー

ジオフェンシング令状の合憲性が米最高裁で争われる

2019年に米国バージニア州で発生した銀行強盗事件の捜査で、警察が用いた「ジオフェンシング（geofencing）」という手法の合法性が最高裁で争われています。

通常の令状は特定の人物を対象とし「容疑者→データ」という流れですが、ジオフェンシング令状は「特定エリアにいた全員」を対象とし「データ→容疑者」という逆方向の構造になります。これが合衆国憲法修正第4条（不当な捜索・押収の禁止）に違反するかどうかが争点です。

判決は携帯端末の位置情報・スマートウォッチ・車載ナビなど、地理データを蓄積するあらゆる機器の取扱いに波及する可能性があります。Google検索履歴を対象とした「キーワード令状」と並んで、AI時代の捜査手法が憲法上どこまで許容されるかを問う事案です。

• NPR Illinois：The Supreme Court case that could redefine your digital privacy

匿名メッセンジャーSessionが寄付を呼びかけ 7月8日に事業停止の可能性

匿名メッセンジャーSessionが、寄付を呼びかけました。目標金額に達しなければ、2026年7月8日に事業停止する見通しです。

Sessionは月間アクティブユーザー170万人を超えて成長していますが、コストを支えきれないとのこと。インフラというよりは、エンジニアと法務担当の人件費が重荷となっているようです。広告も有料プランも持たず、ノード運営者にOXENという独自通貨を報酬として発行するというビジネスモデルでしたが、OXENの暴落とともにノード運営者が撤退し、構造が崩壊しつつあるという背景があります。

同じく寄付ベースで運営されているSignalとの違いは、大口支援者の有無です。Signalは特定の支援者からまとまった資金提供を受けていますが、Sessionにはそれがありません。電話番号登録不要・メタデータレスという独自ポジションを築いてきただけに、停止した場合の代替候補は限られます。

• Session：Our Final Appeal: Session is shutting down in 90 days

年齢確認・SNS規制

ユタ州 新法SB73が5月6日施行 ポルノサイトはVPN経由でも年齢確認義務

米ユタ州で、2026年5月6日から新法SB73（Online Age Verification Amendments）が施行されます。ポルノサイト運営者には次の義務が課されます。

• ユタ州のユーザーに対し、18歳以上であるか合理的な方法で年齢確認をすること
• サイト上で「VPNを使えば見られる」と誘導しないこと
• VPNやプロキシを使っているユーザーであっても、ユタ州のユーザーには年齢確認をすること

問題は3点目です。VPN経由かどうかはIPアドレスである程度判別できますが、それが「ユタ州のユーザー」か「他州・他国のユーザー」かを切り分けることは困難です。法案ではVPN検知が義務付けられているわけではなく、結果としてVPN利用は黙認される可能性が高いとみられています。

なお記事内では触れられていませんが、同法は年齢確認が必要なサイト（ゲームやサブスクリプションサービスを含む）への課税も含んでおり、運営者側の影響としてはそちらの方が大きそうです。

• PC MAG：Utah's Age-Verification Law Targets VPNs, Risks Ensnaring All Users

ギリシャ政府がSNSの匿名利用禁止を計画

ギリシャ政府が、SNSの匿名利用を禁止する計画を進めています。実名と公的IDの紐付けを義務化する方向です。

ギリシャの現政権は2023年に安定多数を確保したものの、複数のスキャンダルで支持率が低下しており、2027年初頭の国政選挙を控えてSNS批判への対抗策を打ち出した形と見られています。

SNS匿名禁止は政府批判の発信源を特定可能にする規制と評価されることが多く、欧州評議会・人権団体からの反発が予想されます。

• Euractiv：Greece to ban anonymity on social media

米GUARD Act 未成年のAIコンパニオン利用を制限

米連邦議会が、未成年者によるAIコンパニオン利用を制限する「GUARD Act」の準備を進めています。AIコンパニオンは人格を持たせた対話型AIを指す概念ですが、法案には次のような問題が指摘されています。

• AIコンパニオンの定義が曖昧で、汎用チャットボットを含む幅広いサービスが規制対象になる
• すべてのユーザーに年齢確認が必要となる
• 違反企業に重い罰則が設定されている

成人ユーザーまで含めた年齢確認を強制する構造は、米国各州で進む年齢確認義務化と歩調を合わせるものです。AIサービスの提供範囲が広いだけに、影響を受ける事業者の数は大幅に多くなります。

• EFF：The GUARD Act Isn’t Targeting Dangerous AI—It’s Blocking Everyday Internet Use

データ漏洩・セキュリティ

ドイツでSignalを狙うフィッシング攻撃が急増 ロシアの関与を指摘

ドイツでSignalを狙ったフィッシング攻撃が急増しており、背後にロシアがいるとみられています。ターゲットはジャーナリスト、議員、軍関係者、NATO関係者などに集中しています。

手口はSignal自体の脆弱性を突くものではなく、公式サポートを装ってQRコードを読ませ、攻撃者の端末をリンクデバイスとして登録させるというものです。リンクされた端末からは、メッセージをリアルタイムに閲覧できるようになります。

防御策は以下の3点です。

• 公式サポートを名乗る連絡を信用しない
• 不明なQRコードは読まない
• 設定画面で「リンクされたデバイス」を定期的に確認する

E2EE自体は破られていなくても、利用者が攻撃者の端末を登録してしまえば内容は丸見えになる構造です。攻撃の成立条件はUI操作レベルにあるため、技術的なソリューションだけでは防げない領域となります。

• news.ORF.at：Berlin ortet Kreml hinter Signal-Hacks

フランス政府機関の漏洩事件 容疑者として15歳少年を拘束

フランスではほぼすべての政府発行IDを統合する身分証手続きポータルが侵害され、1,900万件規模のレコードがダークウェブで販売されていた事件に関連し、15歳の少年が拘束されました。

罪に対する最大刑は7年の懲役と30万ユーロの罰金ですが、未成年であることから大幅に減刑される可能性が高いとみられています。

国民IDインフラのような重要システムが、組織的国家アクター以外でも侵害できてしまう実態と、未成年が大規模インフラを攻撃した場合の量刑のギャップは、欧州各国が同種のID統合を進める上で改めて議論の対象になりそうです。

• The Register：French prosecutors link 15-year-old to mega-breach at state’s secure document agency

AI時代のマルウェア 配布手段と目的が大きく変化

AIエージェントの普及に合わせて、マルウェアの配布手段と目的が変化しているとの指摘が出ています。

配布手段は、これまで「いかに実行ファイルをダウンロードさせるか」が中心でしたが、現在は「ユーザーにブラウザの操作権限を渡させる」という方向にシフトしています。AIエージェント連携を装った拡張機能やデスクトップアプリが、被害者自身の操作で導入される構造です。

取得目的も変わっています。従来は閲覧履歴やCookieが中心でしたが、現在は「ユーザーが入力したプロンプト」「APIキー」「ワンタイムパスワード」「全メール」など、AIエージェントが日常的に扱うあらゆる入力と認証情報が継続的に狙われるようになっています。

AIエージェントに権限を渡す際は、対象アプリや拡張機能がどこまでブラウザを操作できるのかを都度確認する習慣が必要です。

• Unit 42：That AI Extension Helping You Write Emails? It’s Reading Them First

プライバシー・法律・政策

メリーランド州が食料品店でのダイナミックプライシングを禁止

米メリーランド州が、食料品店でのダイナミックプライシング（個人プロファイルに応じて価格を変える仕組み）を禁止する法案を成立させました。パーソナライズドプライシング、サベイランスプライシングとも呼ばれる手法です。

ウォルマートなどの大手小売がデジタル価格タグの導入を加速させているのを受けて、各州が先回りで規制を入れる流れにあります。同様の法案は他州でも検討されており、「同じ商品が誰に表示されるかで違う値段になる」状態を法律で抑える流れが広がっています。

• Fox News：Maryland moves to ban surveillance pricing in grocery stores

AI・テクノロジー

SpaceXのIPO計画 GrokのAI性的画像問題が市場リスクに

SpaceXは2026年夏にIPOを予定していますが、xAIのGrokが性的画像を生成していた問題が、目論見書上のリスク要因として明示されました。

Grokの画像生成については複数の国がすでに調査を進めており、規制対象がxAI単体にとどまらず、関連事業を持つSpaceXにまで広がる可能性があるとされています。マスク氏が率いる事業群は人事・資金面で接続されているため、特定子会社のコンプライアンス問題が他社のIPO評価に直接波及する構造です。

AI生成コンテンツの規制が、上場企業の市場評価に組み込まれ始めた事例として注目されます。

• Reuters：Exclusive: SpaceX warns that inquiries into sexually abusive AI imagery may hurt market access

今週の推奨アクション

Sessionから移行する際の代替候補を事前に検討する

Sessionが7月8日に事業停止する可能性があるため、Session利用者は移行先を事前に検討しておく必要があります。匿名性を重視する場合の選択肢は限られます。

• Signal：大口支援者があり継続性は高いが、電話番号登録が必須
• SimpleX Chat：識別子なしで利用可能。サーバーを自分で選択できる
• Briar：ピアツーピア接続。インターネット非接続でも近距離で動作

いずれもSessionと完全互換ではありません。連絡先のリストアップとアカウント作成は早めに済ませておくのが安全です。

来週の注目ニュース

ロシア 5月9日対独戦勝記念日とネット規制

ホワイトリスト方式の通信制限が一時措置とされていますが、5月9日以降に解除されるか、定常運用に組み込まれるかが焦点です。同時に5月1日開始予定だった海外トラフィック課金の実態も確認すべきタイミングです。

Session寄付額の進捗

7月8日が事業停止の判断ラインです。5月から6月にかけて、目標額に到達するか、Signal以外の暗号化メッセンジャーがどれだけ持続できる収益モデルを示せるかが問われます。

米国GUARD Actの法案進行

未成年向けAIコンパニオン利用制限の法案ですが、定義の曖昧さから対象範囲が拡大する可能性があります。法案の修正過程と、生成AI事業者側のロビイング動向に注目です。

最新のプライバシーニュースは、X（@vpn_taizen）でご確認ください。