Danny Weber
Europolの作戦「Operation Saffron」により、犯罪者向けVPN「First VPN」が摘発された。27カ国にまたがる33台のサーバー押収、506人利用者特定。サイバー犯罪のインフラとして機能し、プライバシーと法執行のバランスに議論を巻き起こす。GDPRなど欧州規制との兼ね合いも焦点。
Europol(欧州刑事警察機構)は、サイバー犯罪者向けの「弾丸」インフラとして機能していたVPNサービス「First VPN」を摘発した。作戦名は「Operation Saffron」。2021年から始まった国際捜査の結果、27カ国にまたがる33台のサーバーが押収され、同サービスの506人の利用者が特定された。
捜査には18カ国の法執行機関が参加。フランス、オランダ、ルクセンブルク、ルーマニア、スイス、ウクライナ、英国が中心的な役割を果たした。First VPNのドメイン(通常のアドレスとTorの隠しサービスの両方)は押収され、現在はOperation Saffronのバナーにリダイレクトされる。捜査により、ウクライナにある同サービス関連の拠点も発見された。
Europolによれば、First VPNは単なるプライバシーツールとしてではなく、法執行機関と協力せず、いかなる管轄区域外で運営されると主張するサービスとして売り込んでいた。主にロシア語のサイバー犯罪フォーラムで宣伝されていたという。法執行機関は、同サービスがオンライン詐欺、マルウェア攻撃、ランサムウェアなどの捜査で頻繁に登場していたと述べている。
First VPNの事例は複雑な問題を浮き彫りにしている。正当なデジタルプライバシーと犯罪者が利用するインフラの境界線である。多くの通常のVPNもログを保持せず、引き渡すユーザーデータを持たないが、いわゆる「弾丸」サービスは異なる。こうしたサービスは怪しい顧客を公然と受け入れ、不正行為の申し立てを無視し、法執行機関に抵抗することを売りにしている。
こうした摘発は必然的に、介入の法的限界に疑問を投げかける。サーバー押収は各国の法律に依存し、令状、証拠、手続きの基準は大きく異なる。欧州ではデジタルプライバシーは保護された権利であり、GDPR(一般データ保護規則)が厳格なデータ取り扱いルールを課しているため、セキュリティとプライバシーのバランスは特に微妙である。
EUの新たな提案(法執行機関によるデータアクセス拡大や、児童保護のためのプライベートメッセージのスキャンなど)がさらに複雑さを増している。こうした背景の中、First VPNの閉鎖はサイバー犯罪インフラへの打撃であるだけでなく、オンラインプライバシーの将来をめぐる議論の一章でもある。
© RusPhotoBank