VPN大全 デジタルプライバシー Weeklyレポート 2026年4月第2週

2026年4月6日〜4月12日のデジタルプライバシー関連ニュースをまとめてお届けします。

今週のポイント

今週は、暗号化ツールへの信頼を揺るがす重大ニュースが相次ぎました。

FBIがSignalの削除済みメッセージをiOSの通知データベースから復元した事例は、エンドツーエンド暗号化がOSレベルの記録を防がないことを改めて示しています。

中国では三大通信キャリアへの国外アクセス禁止令が流出し、グレートファイアウォールが質的に強化されつつあります。

SNS規制ではトルコ・カナダ・エストニアと、国ごとに異なるアプローチが進んでいます。

今週のヘッドライン

VPN・インターネット規制

TeleGuard: 「スイス製・ノーログ」の看板に、研究者が警告

「スイス製」「エンドツーエンド暗号化」「ノーログ」を謳い、100万以上ダウンロードされているメッセージアプリ「TeleGuard」について、セキュリティ研究者が懸念を表明しています。

故意か過失かは不明ですが、暗号化の実装が非常に杜撰で、実質的に誰でもメッセージを復号できる状態となっています。

人気のあるアプリが「プライバシー重視」を謳うケースは増えていますが、その主張を裏付ける独立した監査や技術的な根拠があるかを確認することが重要です。

• 404 Media：A Secure Chat Apps Encryption Is So Bad It Is Meaningless

Malwarebytes VPN: 第三者機関によるノーログ監査を完了

ウイルス・マルウェア対策ソフトとして知られるMalwarebytesは、2024年にAzireVPNを買収してVPNサービスも提供していますが、このたびノーログポリシーの第三者機関による監査が完了したと発表しました。

監査されたから即安全ということにはなりませんが、少なくとも一定の信頼性を示したことになります。（上記と比較して）

• Malwarebytes：Malwarebytes Privacy VPN receives full third-party audit

イランでVPN事業者が逮捕される

イラン当局が、300人以上にVPNサービスを販売していた事業者を逮捕したと報じられました。

イランは、中国型の国内インターネット網（National Information Network、通称SHABKA）の整備を進めており、国際インターネットへのアクセスを段階的に遮断しています。

それに対抗し、国民の30～40%はVPNを利用しているとみられています。政府はVPN利用も制限しようとしていますが、完全禁止には至っていません。

それよりも、提供者側を狙った取り締まりで、規制を強化する方針のようです。

• Iran International：Iran police arrests alleged VPN seller in Kerman

中国、三大通信キャリアに「中国大陸外へのアクセス禁止」を指示

中国政府が2026年4月初頭に、三大通信キャリア（中国移動・中国電信・中国聯通）に対し「中国大陸以外へのアクセスを禁止する」旨の内部通知を発行したことが、SNSへの流出によって明らかになりました。

これにより、VPNやプロキシを使い海外へアクセスすることが、明示的に禁止されました。

さらに今までと異なり、香港・マカオ・台湾へのアクセスも禁止されています。これは、中継サーバーを経由してグレートファイアウォールを回避する手法を遮断するためとみられています。

また、以前は注意喚起にとどまっていたものが、今回は検出時に即時遮断という措置に変わりました。

個人や旅行者以上に、企業に甚大な影響を与えることになるとみられています。

• Radio Free Asia：中国加强跨境数据监管 三大运营商同时收紧信号
• China Digital Times：【真理部指令】关于全面封禁海外流量及严禁翻墙业务的紧急通知

監視・プライバシー

スマホアプリの位置情報が、無関係の第三者に渡る仕組みが明らかに

天気・ニュース・ゲームなどの極一般的なスマホアプリに位置情報の権限を付与すると、まったく関係のない企業や政府機関が、ユーザーの位置情報を追跡できる仕組みが、研究者によって報告されました。

この仕組みの中心は広告ID（iOS：IDFA、Android：GAID）です。

1. アプリが位置情報を取得し、広告SDKを通じて送信
2. リアルタイム広告オークションを実施
3. データブローカーがこの情報を収集
4. 複数のデータを統合し個人を特定
5. 政府や企業がデータを購入

1～3の時点では匿名化処理がされていますが、4で様々な情報が統合されることで、個人を特定することができてしまいます。

本来、位置情報の収集には令状が必要ですが、それぞれの断片的なデータは「任意に提供された」ものとして、令状なしに利用できてしまう抜け穴が存在します。

• CyberInsider：Webloc surveillance system tracks millions using mobile ad data
• Associated Press News：Nevada police may be tracking your phone’s location without a warrant. Here’s how.
  

米国の人事管理局が医療記録への大規模アクセスを要求

米国の人事管理局（OPM）が、65以上の保険会社に対し、連邦職員やその家族800万人以上の医療記録を、毎月OPMに報告するように求めました。

OPMは過去にも同様の要求をし、拒否されていますが、今回は前例のない規模とみられています。

利用目的が明確でなく、医療情報のプライバシー基準であるHIPAAに違反している可能性があります。

• CBS News：Trump administration personnel agency is asking for federal workers' medical records

年齢確認・SNS規制

トルコがSNSアクセスに国民IDを紐づけ

トルコ政府が、SNSのアクセスに国民IDを必要とする法案を提出し、早ければ3ヶ月位内に実施されます。

すでに15歳未満のSNS利用を禁止する法案が提出されていますが、それとは別にBotや匿名アカウントを排除することが目的とのこと。

年齢確認を名目として実名制を導入するパターンは、中国やロシアが先行して採用してきたモデルです。

• Stockholm Center for Freedom：Turkey says users will need national ID numbers to access social media within 3 months

カナダ自由党が16歳未満のSNS利用禁止を表明

カナダの自由党が「16歳未満のSNS利用制限」を決議しました。

現時点では導入目標の段階であり、具体的な実施方法や施工時期は未定です。

• CityNews Vancouver：Liberal party adopts motion to restrict kids from social media

エストニアが、EUはSNSの年齢制限よりビッグテックの規制に注力すべきと主張

エストニアの教育大臣が、EUはSNSの年齢制限を導入するのではなく、大手プラットフォームの規制に注力すべきだと発言しました。

世界的にSNS規制が進む中、エストニアはSNSの利用促進に前向きな国として知られています。

• POLITICO：Europe should regulate Big Tech instead of banning kids from social media, Estonia says

データ漏洩・セキュリティ

FBIがSignalの削除済みメッセージをiPhoneの通知データベースから復元

2025年7月に移民収容施設を破壊し警察官を銃撃した事件に関連し、被告のiPhoneから、Signalの削除済み受信メッセージがフォレンジックにより復元されました。

iPhoneはプッシュ通知の内容をデバイス内のSQLiteデータベースに保存しています。Signalのエンドツーエンド暗号化はアプリ内通信を保護しますが、iOSの通知システムはアプリの暗号化を経由せず記録されます。

つまり、Signal内でメッセージを削除しても、その通知プレビューがiOSの通知データベースに残ります。なお、復元できたのは受信メッセージのみです（送信メッセージはプッシュ通知されないため）。

また、通知データベースを完全に消去するには、アプリのアンインストールや設定の初期化では不十分で、端末の工場出荷時リセット（factory reset）が必要となります。

• 404 Media：FBI Extracts Suspects Deleted Signal Messages Saved in iPhone Notification Database

セキュリティアプリ開発者のMicrosoftアカウントが同時期に停止される

「VeraCrypt（暗号化ソフト）」「WireGuard（VPNプロトコル）」「Windscribe（VPNサービス）」等、セキュリティツールの開発に関連するMicrosoftアカウントが同時期に停止されました。

これにより、アプリに「署名」することができなくなり、アップデートや、セキュリティブート下での起動ができなくなります。

開発者達は、あらゆる方法でMicrosoftのサポートに連絡したが、全て無視されたと報告しています。

この問題がSNSで話題になると、Microsoftの関係者が、2025年10月から本人確認手続きを必須化しており、複数回メールしているはずだと反論しました。現在は個別に連絡を取り対応を進めているとのことです。

Perplexityがチャット内容をGoogleとMetaに送信か

AI検索エンジン「Perplexity」が、ユーザーのチャット内容をGoogleおよびMetaに送信していたとして、集団訴訟に発展しました。

入力内容を常にGoogleやMeataに送信、シークレットモードでもデータ送信、ユーザーの同意無しに広告コードを埋め込み、機微な内容の詳細資料のアップロードを促す、プライバシーポリシーに同意するプロセスがない、などが主張されています。

企業側が敗訴した場合、莫大な賠償金に発展する可能性があります。

• Ars Technica：Perplexitys Incognito Mode is a sham, lawsuit says
  

bitchatが中国のApp Storeから削除される

オフラインでも利用可能な分散型メッセージアプリ「bitchat」が中国のApp Storeから削除されました。

中国以外のストアおよびGitHubでは引き続き配布されています。

今週の推奨アクション

Signalの通知設定を変更する

iOSでSignalを使用している方は、「設定」-「通知」を「名前もメッセージも非表示」に変更してください。これにより、iOSの通知データベースに、メッセージ本文が記録されなくなります。

なお、過去の通知を消すことはできません。確実に復元できないようにするには、工場出荷時リセットをする必要があります。

iOSの広告ID設定を確認する

「設定」-「プライバシーとセキュリティ」-「トラッキング」-「アプリからのトラッキング要求を許可」をオフにすることで、広告IDを通じたアプリ横断の位置情報収集を、ある程度防ぐことができます。

来週の注目ニュース

中国の海外アクセス禁止の影響範囲は

中国でインターネットの国外アクセス禁止が指示されましたが、厳格に運用すると、ビジネスへの影響が大きすぎると思われます。

実際の影響範囲や抜け道がどうなるか注目されます。

ロシアのVPN規制

ロシアでもVPN対策が強化されていますが、中国とは異なり、ユーザーがVPNに課金する手段を潰すことで、実質的に締め出す方法が取られています。

5月1日から国際通信にも課金が始まる予定で、こちらも影響範囲が注目されます。

Microsoftアカウント停止問題

セキュリティ関係者のMicrosoftアカウントが停止された問題が本当に解決するのか、引き続き見守る必要があります。

VPN大全 デジタルプライバシーWeeklyレポートは、毎週日曜日の配信を予定しています。

最新のプライバシーニュースは、X（@vpn_taizen）にて投稿しています。