2026年5月18日〜5月24日のデジタルプライバシー関連ニュースをまとめてお届けします。
ヘッドライン
VPN・インターネット規制
犯罪者向けVPN「First VPN」をユーロポールが押収、全利用者を特定
フランス・オランダ両当局が主導し、ユーロポール(Europol)とユーロジャスト(Eurojust)が支援する国際合同捜査により、犯罪者向けVPNサービス「First VPN」が停止に追い込まれました。
5月19日〜20日の合同行動で、7か国にまたがる33台のサーバーが押収され、1vpns.com系のドメインと関連onionサイトが差し押さえられ、ウクライナで容疑者の捜索・事情聴取が行われました。Europolによれば、このサービスは主要なサイバー犯罪捜査のほとんどに登場していたといいます。
First VPNは犯罪フォーラムで「ノーログ」「いかなる司法当局にも協力しない」「いかなる管轄にも服さない」と宣伝し、ランサムウェアやデータ窃取の実行役に安全な隠れ場所を提供すると謳っていました。
しかし捜査当局は秘密裏にインフラへ潜入し、利用者データベースと接続記録を丸ごと取得していました。結果として全利用者が特定され、直接通知が送られています。Europolは506人分の利用者情報を国際的に共有し、ランサムウェアや詐欺に関連する83件の捜査資料を作成したとしています。
- Eurojust:Eurojust coordinated investigation shuts down criminal VPN network
- BleepingComputer:Police seize "First VPN" service used in ransomware, data theft attacks
カナダ政府機関が「公共Wi-FiでVPNを」と投稿、監視法案との矛盾で炎上
カナダ連邦政府が審議中の法案C-22は、通信事業者・SNS・VPN・暗号化メッセージングなど広範な電子サービスプロバイダに対し、捜査機関がデータを取得できる技術的能力の維持と、メタデータの最長1年間の保存を義務付けるものです。
これを受けてNordVPN・Windscribe・Proton・Signalが、ログを残せないとしてカナダ市場からの撤退や本社移転を相次いで表明しています。
そんな中、政府機関「Public Safety Canada」が公式Xで「公共Wi-Fiに接続する際はVPNで通信を保護しましょう」と投稿し、強い反発を招きました。
Windscribeは「実に滑稽だ。C-22はログ義務化で我々のようなVPN事業者をカナダから追い出そうとしているのに、同じ口でVPNを使えと言うのか」と皮肉っています。さらに政府が「C-22は同盟国と足並みを揃えるだけ」と擁護する投稿には、EU司法裁判所が無差別なデータ保存義務を二度違法と判断している事実を指摘するコミュニティノートが付きました。
データ漏洩・セキュリティ
Ledgerを装う物理的フィッシング、郵便のQRコードで偽サイトへ誘導
暗号資産ハードウェアウォレット「Ledger」の利用者を狙い、同社を装った紙の手紙を郵送するフィッシングがイタリアで確認されました。
手紙にはLedgerのロゴ、参照番号、CTOのCharles Guillemet氏の署名が記され、「量子耐性(Quantum Resistance)アップデートが必須」という偽の警告で緊急性を煽ります。同梱されたQRコードを読み取ると公式を装ったサイトに飛び、24語のリカバリーシードフレーズの入力を求められる仕組みです。入力すれば、攻撃者はウォレット内の資産を即座に引き出せます。
手紙がイタリア語でローカライズされていたことから、2026年1月にLedgerのEコマース委託先Global-eで起きた情報漏洩で流出した配送先データが悪用された可能性が指摘されています。Ledgerは物理的なフィッシングの存在を公式に認めており、ウェブサイト・QRコード・電話・郵便のいずれであっても、24語のシードフレーズを尋ねることは絶対にないと改めて注意を呼びかけています。
プライバシー・法律・政策
テキサス州、WhatsAppの暗号化説明は虚偽だとMetaを提訴
テキサス州司法長官ケン・パクストン氏が、Metaとメッセージアプリ「WhatsApp」を提訴しました。
WhatsAppは「WhatsApp自身でさえメッセージを見られない」とエンドツーエンド暗号化を強調していたが、実際には従業員や契約業者が一部のメッセージを閲覧できる立場にあり、説明は虚偽だと主張しています。
ただし、この主張はやや誇張があるとみられます。WhatsAppのメッセージ本文自体は暗号化されていますが、クラウドバックアップの暗号化オプションが既定で有効になっていないため、バックアップ経由で内容に到達しうる、という点を指したものと考えられます。
テキサス州がDiscordを提訴、捜査の発端はカーク氏暗殺事件
パクストン氏は、メッセージプラットフォーム「Discord」も提訴しました。
子どもの安全対策を既定ではなく任意設定にしている、重要なモデレーションを無償ボランティアに依存している、違反記録が90日で消える、安全機能へのアクセスが難しい、といった点を問題視し、州の青少年保護法(SCOPE Act)に基づく全ユーザーの年齢確認導入と、違法行為で得た収益の返還を求めています。
同種の訴訟はニュージャージー・ネバダ・インディアナの各州でも起きており、全米的な流れになっています。
注目すべきは捜査の発端です。テキサス州の調査は、2025年9月に暗殺された活動家チャーリー・カーク氏の容疑者がDiscordを使用していたと報じられた2025年10月に開始されています。トランプ政権の支持層に絶大な人気を持っていたカーク氏の事件をきっかけに、Discordが過激思想の温床、ひいては政権の敵対勢力と位置づけられ、「児童保護」を前面に掲げつつ取り締まりが進められている——そうした政治的な背景を読み取る見方もあります。
- Texas Attorney General:Attorney General Ken Paxton Files Landmark Lawsuit Against Discord
- KSAT:Texas sues Discord, arguing online messaging platform endangered children, misled users
AI・テクノロジー
1PasswordがOpenAI Codexと連携、認証情報をAIモデルから隔離
パスワード管理サービスの1Passwordが、OpenAIのコーディングエージェント「Codex」との連携を発表しました。
AIエージェントがデータベースやAPIを操作するにはAPIキーなどの認証情報が必要ですが、従来はそれらを.envファイルやリポジトリに直接置くため、漏洩や監査困難の温床になっていました。
今回の「1Password Environments MCP Server」は、認証情報をタスクごとに必要な時だけ発行し、モデルのコンテキストウィンドウの外側に保ちます。Codexは環境を構成し変数名を扱えるものの、シークレットの値そのものは1Passwordから外に出ず、実行時にアプリのプロセスへ直接注入されます。組織にとっては、認証情報を各所に散らばせず中央集権的に一元管理できる利点があります。
一方で、ハブとなる1PasswordのMCPサーバー自体が新たな攻撃対象になりうること、そしてアクセスのたびにユーザー承認を求める設計が「承認疲れ」を招き、結局は中身を確認せず承認ボタンを押すようになる、という懸念も指摘されています。
今週の推奨アクション
暗号資産のシードフレーズは、どんな経路でも入力しない
Ledgerを装う郵便フィッシングのように、攻撃は実在企業のブランドと「緊急アップデート」を装って届きます。メール・SMS・郵便・QRコードのいずれであっても、24語のリカバリーシードフレーズの入力を求めてきたら詐欺と断定して構いません。シードフレーズを入力するのは、信頼できる端末での初回ウォレット復元時だけです。
QRコードを読み取る際は、Apple純正カメラやSimple QRなど、不要な権限を求めない信頼できるアプリを使い、遷移先URLを必ず確認してから操作しましょう。万一入力してしまった場合は、攻撃者が動く前に新しいウォレットを作成し、資産を移してください。
来週の注目ニュース
カナダ法案C-22の行方
VPN事業者の撤退表明とコミュニティノートでの事実誤認指摘を受け、政府が法案修正に前向きな姿勢を示したと報じられています。ログ保存義務の条文がどう変わるか、ビッグテックや市民団体の反応とあわせて注視する価値があります。
Discord訴訟の全米的な広がり
テキサスに加え、ニュージャージー・ネバダ・インディアナでも提訴が相次いでいます。「児童保護」を掲げた各州の訴訟が、年齢確認の義務化やプラットフォームの責任範囲をどう動かすか、続報を確認していきます。
最新のプライバシーニュースは、X(@vpn_taizen)でご確認ください。
