VPN大全 デジタルプライバシー Weeklyレポート 2026年5月第2週

2026年5月11日〜5月17日のデジタルプライバシー関連ニュースをまとめてお届けします。

ヘッドライン

VPN・インターネット規制

Android 16にVPNを迂回する欠陥、GoogleはWon't Fixで放置

Mullvadは5月12日、Android 16にVPNトンネル外へトラフィックを送信できる欠陥が存在すると公表しました。「常時接続VPN」「VPN以外の接続をブロック」を有効にしていても回避されません。

この問題を最初に発見・公表したのは独立研究者のlowlevel.fun（「The Tiny UDP Cannon: An Android VPN Bypass」）で、AndroidセキュリティチームはWon't Fix（Infeasible）として報告を閉じました。Mullvadが追加でAndroid Issue Tracker（issue 510393733）に再報告したものの、Googleはアクセス不能にしています。

一般ユーザーが現実的にとれる対策は、信頼できないアプリをインストールしないことです。

• Mullvad VPN：Any app on recent Android versions can leak certain traffic

カナダ法案C-22でNordVPNとWindscribeが撤退を表明、SignalとAppleも反対声明

カナダ連邦政府が議会に提出している法案C-22（lawful access bill）は、電子サービスプロバイダに対して、捜査機関がデータを取得できるようにする技術的能力の構築・維持と、メタデータの最長1年間の保存を義務付けるものです。対象は通信事業者・SNS・VPN・暗号化メッセージング・個人運営のサービスまで広範に及び、公安大臣がコアプロバイダ以外にも省令で能力構築を命令でき、命令の存在自体の開示も禁じられます。

Nord VPNは「カナダ法域からの撤退を含む実行可能な選択肢を検討する」と表明しました。カナダに本社を置くWindscribeも「本社をカナダ国外へ移す」と踏み込んで宣言しています。

VPN事業者だけの問題ではありません。先んじてSignalがカナダ撤退を示唆し、AppleとMetaも、自社の暗号化を破る能力を強制されかねないとして反対声明を出しています。

米国議会の司法・外交委員長は公安大臣Gary Anandasangaree宛ての共同書簡で「アメリカ企業に暗号化システムへのバックドア構築を強制し、国境を越えた体系的脆弱性を生む」と批判しました。

政府側は「監視機能の設置を義務付けるものではない」「データ取得には令状が必要」と反論していますが、市民的自由団体や法学者からの反対は強まっています。

• Fraser Valley Today：Major VPN provider says it could leave Canada over lawful access bill

ロシア大統領直属の人権評議会議長「VPN全面禁止は不可能」

ロシア大統領直属の市民社会・人権評議会（HRC）議長Valery Fadeyev氏は、ビジネス紙RBCのインタビューで「VPNを全面的に禁止したり停止することは不可能だと早い段階で明らかになった」と発言しました。理由は技術的困難さに加え、銀行・企業・ソフトウェア開発・リモート接続など、ロシア経済の広範な領域がVPN技術に依存しているためです。

ロシアは2022年のウクライナ侵攻以降、深層パケット検査（DPI）、プロトコル禁止、トラフィックフィルタリング、AIによるVPN検知などを積み重ねてきました。

Fadeyev氏は、VPNを全面禁止することは現実的ではないことを認めつつも、「禁止メディアにアクセスするためにVPNを使うのは市民意識の欠如だ」と一般ユーザーへの批判は続けています。

• Cyber Insider：Russian official admits VPNs cannot be fully blocked without breaking the internet

監視・プライバシー

ユーロポール、EU法を回避した「シャドーIT」を運用していたことが発覚

Solomon・Correctiv・Computer Weeklyの共同調査により、EUの警察機関ユーロポールが内部で「Computer Forensic Network（CFN）」と「Pressure Cooker」と呼ぶ2つのシステムを、EU法の安全策なしに運用していたことが明らかになりました。

CFNは2012年にマルウェア解析用の隔離環境として設置されたものの、2015年11月のパリ同時多発テロ後に大量データを取り込んだことを契機に役割が変質。2019年時点でユーロポールの運用データ全体の99%、少なくとも2ペタバイトを抱え込む実質的なメインシステムとなっていました。

データ保護責任者Daniel Drewer氏による2019年2月の内部報告書は、限定的なサンプル調査ですら2,500万件のレコードが法的根拠なく保管されていることを発見し、「EDPS（European Data Protection Supervisor、欧州データ保護監督官）による業務停止のリスクがある」と警告しています。

さらに調査によって「Pressure Cooker」と呼ばれるオンライン対テロ部門（IRU）が立ち上げた未公式の環境の存在が明らかになりました。ICT部門の作業計画に登場する正式なInternet Facing Operational Environment（IFOE）とは別物で、ICTスタッフは「Pressure Cookerを廃止して適切な統制を持つシステムへ作り直すべきだ」と繰り返し進言しましたが、業務側の優先度で外され続けてきたといいます。

EDPSは2019年4月から始まった「Big Data Challenge」調査の最中に、この並行環境の存在を知らされていませんでした。

2026年2月、EDPSは10年近くにおよぶCFNの監視を打ち切りましたが、150件の勧告のうち15件は未実装のままで、未解決事項は「特に重要な事項」を含むとされています。一方で欧州委員会はユーロポールの権限と予算を倍増する法案を準備中で、機関は監視・分析能力を拡大しつつあります。

• Computer Weekly：They protect the law while breaking it: Inside Europol's shadow IT system

FBIが家庭用ルーター数千台を所有者に無断で遠隔リセット、対象はTP-Linkの24機種

FBIボストン支局が主導する「Operation Masquerade」で、ロシア軍参謀本部情報総局（GRU、APT28／Fancy Bear）に侵害されていた家庭用・小規模オフィス用ルーター数千台に、裁判所の許可のもとで遠隔コマンドを送信し、GRUのDNSリゾルバを削除して再侵入経路を遮断したと発表されました。司法省は「ルーターの通常機能には干渉せず、正規のユーザーデータは収集していない」としています。

GRUは少なくとも2024年から、サポート切れのSOHOルーターを踏み台に、軍・政府・重要インフラ従事者の認証情報や認証トークンを傍受していたとされます。FBIとNSAが対象として挙げたのはTP-Linkの24機種で、代表例はTL-WR841N、Archer C5、Archer C7、MR6400、WDR3600、WDR4300、WR1043ND、WR940系、WA801ND／WA901NDなどです。

サポートが終了したルーターの交換、最新ファームウェアへの更新、デフォルト認証情報の変更などが推奨されています。合わせて「機密情報にアクセスする際にはVPNを使用すべき」とも明記されています。

• TechRadar：The FBI just remotely reset thousands of home and small office routers – and your TP-Link could be on the hitlist

米司法省、EZ Lynkのユーザー10万人超の身元提出をApple・Google・Amazon・Walmartに要求

米司法省は、ケイマン諸島拠点のEZ Lynkが提供する車両診断・チューニングアプリ「Auto Agent」のユーザー少なくとも10万人について、身元・住所・購入履歴の提供を命じる召喚状をApple・Google・Amazon・Walmartに送付しました。司法省はEZ Lynkを大気浄化法違反（排ガス制御を無効化する「defeat device」販売）で提訴中で、裁判で証言する顧客を特定する目的だと説明しています。

EZ Lynkの弁護士は「数十万人もの個人情報を要求するのは本件の必要性を大きく超え、深刻なプライバシー上の懸念を生む」と書面で反発しており、AppleとGoogleも争う方針です。

Electronic Privacy Information Center（EPIC）のTom McBrien弁護士は「全顧客の個人情報を取得できることは、修正第4条その他プライバシー法の保護範囲の外で起きており、極めて憂慮すべきだ」と指摘しました。

Electronic Frontier Foundation（EFF）副法務ディレクターAaron Mackey氏は、政府が「ユーザーは利用規約に同意して情報を会社に渡したのだから、プライバシーはもはやない」と主張している点を「特に問題」と批判しています。

• Forbes：The DOJ Is Demanding Apple And Google Identify Over 100,000 Users Of This Car App

Metaの従業員監視ソフト「ATA」に米国オフィスで抗議、英国では組合結成の動き

Metaは4月に米国オフィスの全従業員のPCに「Agent Transformation Accelerator（ATA）」と呼ぶ監視ソフトを導入しました。マウス操作・クリック・キーストローク・メニュー操作の履歴を収集し、AIエージェントの訓練データに使用するとしています。CTOのAndrew Bosworth氏は「オプトアウトはできない」と従業員に明言しています。

5月12日、米国の複数のMetaオフィスで従業員がチラシ配布による抗議を始めたことがロイターによって独占報道されました。会議室・自販機・トイレットペーパーホルダーの上に「『従業員データ抽出工場』で働きたいか？」と書かれたチラシが置かれ、オンライン署名（mcipetition.com）への参加を呼びかけています。文書は全米労働関係法（NLRA）の組織化保護条項を明示的に引用しました。

5月20日には全従業員約10%（約8,000人）の第一波レイオフが予定されており、「自分を置き換えるAIを自分で訓練させられている」という危機感が抗議の引き金です。

英国ではCommunication Workers Union傘下のUnited Tech and Allied Workers（UTAW）がMeta英国法人での組合結成キャンペーンを開始しました。UTAWのEleanor Payne氏は「経営陣の無謀な賭けの代償をスタッフが払い、自分たちを置き換えるシステムの訓練を強制されている」と批判しています。

• Reuters：Exclusive: Meta employees launch protest against mouse-tracking tech at US offices

オランダのデータ保護機関APの議長に、ビッグテック弁護を27年務めた弁護士が就任

オランダ閣議は5月13日、データ保護機関Autoriteit Persoonsgegevens（AP）の議長に、企業法務事務所De Brauw Blackstone Westbroekに27年間在籍したGeert Potjewijd氏を任命することを承認しました。8月1日付で、10年間APを率いたAleid Wolfsen氏の後任となり、任期は5年（1回再任可能）です。

Potjewijd氏はDe Brauwでデータ保護・サイバーセキュリティ部門の共同責任者を務め、TikTok、Uber、Oracle、Salesforceなど、APが実際に取り扱うようなプライバシー集団訴訟・規制執行の被告側で活躍してきました。

被規制側を長年代理してきた弁護士が規制機関のトップに就くという人事は、独立性と執行意欲への深刻な懸念を生んでいます。

EU各国のデータ保護機関では同種の人事が繰り返されており、GDPR執行体制への信頼を揺るがす構造的問題として、デジタル権利団体から批判が出ています。

• DutchNews：Big tech lawyer to chair Dutch privacy watchdog AP

データ漏洩・セキュリティ

Canvas（Instructure）が攻撃者に身代金を支払い、データ削除合意

学習管理プラットフォームCanvas（運営：Instructure）がランサムウェア攻撃を受けた件で、Canvasが身代金を支払い、攻撃者側がデータ削除に同意したと報じられています。

調査によると、ランサムウェア攻撃を受けた企業の74%が身代金を支払っているとされています（サイバー保険でカバーできるため）。ただし、支払いによって問題が実際に解決した割合は40〜50%にとどまります。

攻撃を受けること自体を前提とし、復旧計画を事前に策定しておくことが求められています。

• PCMag：Canvas Just Sent a Dangerous Message to Hackers: Crime Pays If You Do It Right

ランサムウェアに物理的暴力を組み合わせる「violence-as-a-service」が拡大

BBCの取材で、ランサムウェア交渉者の自宅に脅迫状が届くなど、サイバー恐喝に物理的暴力を組み合わせる事例の急増が報じられました。米セキュリティ企業Semperisの2025年調査では、世界のランサムウェア事案の最大40%で、身代金支払いを拒んだスタッフへの身体的危害の脅迫が行われています。

特に被害が顕著なのは暗号通貨保有者です。パリ近郊では指を切断された誘拐事件も発生しました。SNSでの自慢が標的化につながりやすく、データブローカーから自宅住所・職場情報・近親者情報を容易に取得できる現状が、この種の犯罪を可能にしています。

• BBC：Cyber-crime increasingly coming with threats of physical violence

プライバシー・法律・政策

ニューヨーク州、SNS詐欺広告を放置するプラットフォームを訴訟対象とする法案S8605/A11066を提出

ニューヨーク州民主党の議員らが、SNS上の詐欺広告に対しプラットフォームの責任を問う「Fraudulent Social Media Advertising Prevention Act」（S8605／A11066）を提出しました。米国消費者連盟（CFA）はニューヨーク州民が年間65億ドル（住民1人あたり約325ドル）をオンライン詐欺で失っていると推定しています。

法案はプラットフォームに以下を義務付けます。

• 広告主の身元確認（政府発行ID、事業登録書類、税務書類など）
• 告内容のスクリーニング
• ランディングページの審査
• 四半期ごとに、受領した詐欺申告件数と対応内容を報告
• 反時は広告1件あたり最大5,000ドル、繰り返し違反や既知詐欺の放置で1万ドルの罰金

特に重要なのは、州司法長官による執行に加えて、私的訴訟権（private right of action）を創設し、個々の市民がプラットフォームを損害賠償で直接訴えられる点です。

長年米国では、通信品位法230条（Section 230）によりプラットフォームの責任が回避されてきましたが、「広告はプラットフォームの商品であり、商品には製造物責任が伴う」という論立てで突破しようとするものです。

可決されれば他州への波及が想定され、「Metaは詐欺広告から収益を上げている」という圧力が一段と強まることになります。

• News10：Social media scam bill targets tech giants as New Yorkers lose billions

Redditがモバイルブラウザ閲覧をブロックし、アプリ強制DLを試行

reddit.comをスマートフォンのブラウザで開くと、「アプリをダウンロードして利用を続けてください」という、閉じることのできない全画面ポップアップが表示される現象が、多数のユーザーから報告されました。

Redditの広報担当者は「ログアウト状態で頻繁にモバイル閲覧するユーザーの小規模なサブセットを対象としたテスト」「アプリの方がパーソナライズされた体験を提供できる」と説明しています。

問題の本質はトラッキングの可否です。ネイティブアプリではデバイス識別子・広告ID・位置情報・利用パターンといった情報がアプリ運営者に渡ります。ブラウザからアクセスすると、設定によってはデータ収集を抑制することができます。

ブラウザからアクセスする層はRedditにとってマネタイズしにくい層であり、アプリ強制によって解消しようとする試みと読めます。

• Reclaim The Net：Reddit Tests Blocking Mobile Web to Force App Downloads

AI・テクノロジー

reCAPTCHAの新QRコードチャレンジ、de-Googled端末を排除

reCAPTCHAが疑わしい行動を検知すると、画像パズルの代わりに画面にQRコードを表示し、スマートフォンでスキャンしてGoogle Play Servicesと通信させる新方式が稼働しています。

検証にはPlay Servicesをバックグラウンドで動かしていることが必須で、GrapheneOSやCalyxOSなど、Googleコンポーネントを排除したカスタムROMでは必ず失敗します。

つまり、正規のAndroid端末の利用を強制されるということで、「セキュリティではなくエコシステム支配」と批判されています。なお、iOS端末には影響はありません。

• Reclaim The Net：Google Broke reCAPTCHA for De-Googled Android Users

中国のClaude API グレーマーケット、正規価格の10%で再販し、入出力ログをAI訓練データとして転売

中国ではAnthropicのClaudeがブロックされていますが、正規価格の10%で非公式にAPIが再販されている実態が報告されました。

手口は多岐にわたります。無料APIクレジットの大量取得、企業向け割引の悪用、MAXプランの共有、盗難クレジットカードの利用などでアカウントを取得し、カンボジアやケニアなどで実在の人物を雇ってID認証や自撮り認証を突破します。その上で中国国内で利用できるようにAPIを販売し、さらにモデルの偽装やプロンプト・出力の横流し訓練にも使われています。

AIサービスの地域制限は、認証の突破手段が多様化するほど実効性を保つことが難しくなっています。

• Tom's Hardware：Chinese grey market sells Claude API access at 90 percent off through proxy networks that harvest user data

今週の推奨アクション

ルーターの機種を確認する

FBIが遠隔リセットしたTP-Linkの24機種（TL-WR841N、Archer C5／C7、MR6400、WDR3500／3600／4300、WR740N／741ND／749N／840N／841N／841HP／842N／842ND／845N／941ND／945N、WR1043ND／1045ND、MR3420、WA801ND／WA901NDなど）に該当する機種を使っていないか確認してください。手順は次の通りです。

1. ルーター本体の銘板でモデル名を確認する
2. 該当機種なら、新しい機種への交換を検討する
3. 当面続用する場合は、ファームウェアを最新版に更新し、デフォルトのユーザー名・パスワードを変更し、外部からのリモート管理（WAN側からの管理画面）無効化する
4. ルーター設定画面で、DNSリゾルバの値がISP、または選択したパブリックDNS（Quad9、Cloudflare 1.1.1.1、NextDNS など）と一致しているかを確認する

Android端末のVPN設定を過信しない

Android 16のVPNバイパス問題を踏まえ、VPNの「常時接続」だけに依存しないセキュリティ設計を心がけてください。

信頼できるソース以外からのアプリインストールを避け、不要な権限を与えているアプリがないか定期的に確認することが有効です。

今後の注目ニュース

カナダ法案C-22の審議進展

NordVPN・Windscribe・Signal・Apple・Metaが反対を表明し、米国議会からも介入が入っています。委員会段階での修正案、特に「電子サービスプロバイダの定義」「省令命令の対象範囲」「メタデータ保管義務の例外」の動向を注視します。

ユタ州SB73のの動向

ウェブサイトの運営者に対し、ユタ州のユーザーがVPNを使用した場合でも年齢確認を義務付ける法案に対し、Aylo（Pornhub運営）が訴訟中です。9月3日まで施行保留されていますが、裁判所の中間判断が出る可能性があります。

最新のプライバシーニュースは、X（@vpn_taizen）でご確認ください。