VPN大全 デジタルプライバシー Weeklyレポート 2026年7月第2週

Uncategorized

VPN大全 デジタルプライバシー Weeklyレポート 2026年7月第2週

このページには広告が含まれています

2026年7月6日〜7月12日のデジタルプライバシー関連ニュースをまとめてお届けします。

ヘッドライン

監視・プライバシー

Windowsの固有ID「GDID」が容疑者の逮捕根拠に

米司法省(DOJ)が、FBIとフィンランド国家捜査局の協力のもと、世界最大級のサイバー犯罪組織「Scattered Spider」の一員とされる19歳の容疑者を逮捕しました。同組織は1億ドルを超える金額を恐喝してきたとされています。

注目を集めているのは、立件の決め手のひとつがMicrosoftの「GDID(Global Device Identifier)」だった点です。GDIDはWindowsのインストールごとに割り当てられる固有の識別子で、裁判資料によれば、ウェブ閲覧履歴、IPアドレス、ゲームの利用履歴、Ngrokなどのツールの使用状況がタイムスタンプ付きでこのIDに紐づけられたとされています。

OSそのものが発行するIDであるため、VPNで通信経路を匿名化しても紐づけを防ぐことはできません。

Meta、周囲の音と気分を一日中収集するウェアラブルの特許を出願

Metaが、ユーザーの声と周囲の環境を一日中記録し、AIで感情状態を分析するシステムの特許を出願していたことがわかりました。2025年12月に出願され、2026年7月2日に公開されたものです。

収集対象として挙げられているのは、笑い声・ため息・声のトーン、時間帯・位置情報・デジタル上のやり取り、周囲にある物体や人物、体の動きや服薬のタイミングなどです。これらを機械学習モデルで解析して感情状態を数値化し、最適なワークアウトを提案するとしています。人間のパーソナルトレーナーではこの精度の指導は不可能だ、というのが特許の建て付けです。

まだ特許が出願された段階であり、Metaの広報も「特許は実装を保証するものではない」とコメントしています。しかしMetaには、2012年に70万人のニュースフィードを本人に知らせないまま改変し、感情を操作できるか検証した実験の過去があります。スマートグラスによる周囲の無断録画が問題視されてきた同社が、常時録音と感情推定にまで踏み込む構想を持っていること自体が、ウェアラブル時代のプライバシーへの懸念を裏付けています。

年齢確認・デジタルID

オーストラリアの16歳未満SNS禁止、年齢推定が最初の段階から機能せず

オーストラリアでは2025年12月から、16歳未満のSNSアカウント保有を禁止する世界初の法律が施行されています。この規制導入に助言してきたテスト企業KJRのチームが調査したところによると、法施行後に年齢を16歳と申告して開設した50個のテストアカウントのうち、年齢の証明を求められたものは1つもありませんでした。年齢証明なしの登録を拒否したのは、のライブ配信サービスKickだけでした。

オーストラリアはプライバシーへの配慮から、政府発行の身分証のみに頼る年齢確認を禁止しており、オンライン上の行動パターンなどから年齢層を推定し、疑わしい場合に確認を強化する多段階方式を推奨しています。これまでの議論は顔写真による年齢推定ソフトの精度が中心でしたが、今回の調査は、その前提となる最初の選別自体がほとんど行われていないことを示しました。

Metaは「自己申告で16歳以上とされたアカウントが、16歳未満のように振る舞ったかは不明だ」と反論していますが、政府は罰金の上限を倍増させ、法的措置も警告しています。

オランダのスタジアム入場デジタルID、旅券データを外部サーバーに送信

オランダサッカー協会(KNVB)が推進するスタジアム入場用のデジタルID「Personal Digital Access」について、プライバシー研究者のMick Beer氏が解析した結果、説明とは異なるデータ送信が行われていることが明らかになりました。

供給元のSIIP社とクラブ側は「データはユーザーのスマートフォン内にのみ保存される」と説明してきましたが、実際には登録した瞬間に、国民識別番号(BSN)、パスポートのICチップに格納された顔写真、政府発行のデジタル署名、旅券番号、国籍がアイルランドのAWSサーバーへ送信されていました。AWSは米国企業のため、これらのデータは理論上、米国のCLOUD法に基づく開示要求の対象になります。

さらに複数クラブのアプリが、ユーザーの同意なしにGoogle FirebaseやSentryへトラッキングデータを送信していることも確認されました。明示的な同意を求めるGDPRへの違反であり、プライバシーステートメントの虚偽表示にあたる可能性が高いと指摘されています。

それにもかかわらずKNVBは、2027年7月からこのシステムを国内全プロクラブの標準にする計画を掲げており、本来ならクラブに歯止めをかけるべき立場の協会が、最大の推進役になっている点が批判されています。KNVB自身が2023年にサイバー攻撃で職員データを流出させた過去もあり、旅券データの集中管理に対するファン団体の反発が広がっています。

プライバシー・法律・政策

EU議会、私的メッセージのスキャンを認める「Chat Control 1.0」の延長を可決

EU議会が7月9日、私的通信の一括スキャンを認める通称「Chat Control 1.0」の2028年までの延長を可決しました。

EUでは本来、プライベートな通信のスキャンは禁止されていますが、児童虐待対策の特例として、InstagramやDiscord、Snapchat、Gmail、iCloudメールといった米国系サービスが自主的にメッセージをスキャンすることが暫定的に認められてきました。この特例は2026年4月に期限が切れていましたが、今回の可決で再びスキャンが可能になります。

投票した議員の過半数(反対314、賛成276)がこの規則に反対しましたが、否決には全議員の絶対多数にあたる361票が必要で、届きませんでした。過半数が反対した規則が成立するという結果に、市民団体からは民主主義を損なうものだという批判が出ています。

WhatsAppなどエンドツーエンド暗号化されたチャットは、今回もスキャンの対象外です。暗号化通信にまで検知義務を広げる恒久法「Chat Control 2.0」の交渉は9月に再開される予定です。

韓国でフェイクニュース処罰法が施行、「検閲が始まった」といううわさを当局が否定

韓国で7月7日、虚偽・操作情報の流通防止と被害者の権利救済を強化する改正情報通信網法(通称フェイクニュース処罰法)が施行されました。

施行初日からX上で「この法律に基づいて検閲された投稿」とするうわさが急速に拡散し、所管の放送メディア通信委員会が「まったく事実ではない」とする公式説明資料を出す事態になりました。同委員会がX側に確認したところ、Xはそのような措置を実施しておらず、今後の予定もないと回答したとのことです。

この法律は、虚偽情報の被害を受けた人が投稿の削除や損害賠償を求めやすくするためのもので、事前に投稿を検閲する仕組みではなく、事後の救済を想定しています。ただ、何を虚偽・操作情報とみなすかの線引きが曖昧だという懸念は残っており、施行直後にデマが混乱を生んだこと自体が、この種の法律の運用の難しさを物語っています。

データ漏洩・セキュリティ

米オハイオ州の郡政府、データ恐喝グループに約100万ドルを支払っていたことが判明

米国の地方政府が、盗まれたデータの公開を防ぐために約100万ドルを支払っていたことが、Ransom-ISACのケーススタディで明らかになりました。流出した交渉チャットとブロックチェーンの送金記録に基づく分析で、被害者はオハイオ州ユニオン郡とみられています。同郡は2025年5月にランサムウェア被害を公表し、住民と職員45,487人に社会保障番号や指紋、旅券番号などの流出を通知していましたが、支払いの事実は公表していませんでした。

攻撃者を名乗る「Kairos」は、ファイルを一切暗号化していませんでした。データを盗み、公開しない見返りに金銭を要求するだけの、純粋なデータ恐喝です。交渉は約1か月続き、300万ドルの要求から始まって、郡は最終的に約9.44ビットコイン(当時約100万ドル)を支払いました。資金は数時間のうちに分割され、複数のウォレットを経由して暗号資産取引所のBybit、OKX、ロシア系サービスのBELQIへ送られています。

Sophosの調査によれば、ランサムウェア攻撃のうち暗号化を伴うものは約半数まで減っており、過去6年で最低の水準です。暗号化しなければ復旧の手間もかからず、盗んだデータそのものが交渉材料になるためです。支払い後にKairosが送ってきた「削除証明」はファイル名の一覧にすぎず、データが本当に消された保証はどこにもありません。バックアップだけでは対抗できない恐喝型への移行が、この事例で改めて裏付けられました。

最新のプライバシーニュースは、X(@vpn_taizen)でご確認ください。

おすすめ記事

プライバシー保護 1

プライバシー保護、匿名性、セキュリテイ強化に役立つツールをご紹介します。内容は随時更新しています。 有料VPN まず前提として、無料VPNは、ユーザー情報を外部に販売したり、特定の国家と共有していたり ...

-Uncategorized