国際合同作戦がサイバー犯罪インフラを解体
2026年5月19〜20日、フランスとオランダが主導する国際的な法執行作戦「Operation Saffron」により、サイバー犯罪者が愛用していたVPNサービス「firstVPNservice」が完全に閉鎖された。Tom’s GuideのGeorge Phillips記者が5月21日に報じた。
EuropolおよびEurojustの支援を受けたこの作戦には、英国・スイス・ウクライナ・ルクセンブルク・ルーマニア・スペイン・スウェーデン・カナダ・ドイツ・米国が参加。2021年に捜査を開始してから約5年をかけてインフラの全容を把握し、一斉摘発に踏み切った。
Operation Saffronの成果
Tom’s GuideによるEuropol発表の紹介によれば、今回の作戦の成果は以下のとおりだ:
- 27カ国にまたがる33台のサーバーを停止・押収
- 65のIPアドレスを特定・公開
- ドメイン(1vpns.com / 1vpns.net / 1vpns.org)および関連する .onionドメインを差し押さえ
- VPNの管理者に対するインタビューを実施、ウクライナ国内の家宅捜索も実行
- ユーザーデータベースの取得に成功し、利用者を特定・通知
Europol欧州サイバー犯罪センター長のEdvardas Šileris氏は「長年にわたり、サイバー犯罪者はこのVPNを匿名性への入り口と見なしていた。今回の作戦はその認識が誤りであることを証明した」と述べた。
firstVPNserviceとは何者か
Tom’s Guideによると、firstVPNserviceはロシア語圏のサイバー犯罪フォーラムで宣伝されていたVPNサービスで、以下の特徴を持っていたとされる:
- 匿名決済への対応
- 隠蔽されたインフラの使用
- 犯罪目的向けに設計された機能の提供
当局はこのサービスを「法執行機関の手の届かない場所に留まるための信頼されたツール」と形容。ハッカーがサイバー攻撃の発射台やデータ窃取の隠れ蓑として活用していた実態が明らかになった。
日本市場での注目点
このニュースが日本のセキュリティ担当者やエンジニアに示す示唆はいくつかある。
まず、VPN自体は合法なツールであることを改めて確認しておきたい。Tom’s GuideのPhillips記者も明確に「VPNは合法だが、違法目的での使用は法執行機関が対処する」と述べており、正規のVPNサービスを業務利用することに問題はない。
次に、ダークウェブの匿名インフラも追跡可能であるという現実だ。.onionドメインを含む関連インフラがすべて押収されていることは、「Torや暗号化を使えば追跡不可能」という神話を否定する強力な事例となる。
企業のセキュリティ部門にとっては、エンドポイント管理の観点からも参考になる。今回摘発されたようなグレーゾーンのVPNを社員が知らず知らずのうちに利用しているケースがないか、VPN利用ポリシーの点検を検討する価値がある。65のIPアドレスが公開されており、国内セキュリティ機関がこれらを参照して調査を進める可能性も十分にある。
筆者の見解
今回の摘発は、匿名化ツールへの過度な信頼が崩壊した好例だ。
セキュリティの世界でよく言われることだが、「禁止」によるアプローチは長続きしない。ユーザーを禁止でコントロールしようとすれば、必ずアンダーグラウンドに潜る人間が出てくる。今回のケースはその逆——法執行機関が5年をかけてインフラを把握し、一斉に手を打った。「禁止」ではなく「追跡」によるアプローチが功を奏した典型例と言えるだろう。
企業のセキュリティ担当者に伝えたいのは、「未承認のVPNを禁止する」という通達だけでは不十分だということだ。社員が「会社承認のVPNより使いやすい」と感じるサービスがあれば、必ず使う人間が出る。公式に承認されたVPNやゼロトラスト接続が一番使いやすく、かつ安全である環境を整えることが本質的な対策になる。
Europol主導の国際協調が高速化・精緻化している現状を踏まえると、サイバー犯罪インフラが「グレーゾーン」に潜伏し続けることはますます困難になっている。守る側にとってはこれは確実な追い風だ。ただし攻撃者も手口を変えてくるため、今回の摘発で安心するのは早計——継続的な監視と内部統制の整備が引き続き求められる。
出典: この記事は European crime agencies seize VPN “deeply embedded in the cybercrime ecosystem” の内容をもとに、筆者の見解を加えて独自に執筆したものです。