📊 3行サマリー

  • 欧州警察と仏蘭当局が5月19〜20日にランサム業界の隠れ蓑「First VPN」を摘発、33サーバーを押収しウクライナで管理者を聴取した
  • 2014年から稼働し延べ5,000アカウントが利用、Phobos/Avaddonを含む25のランサム集団が侵入・偵察の通信を匿名化していた
  • 日本警察は2026年2月にPhobos/8Baseの復号ツールを世界に先行公開済み、Phobos系の収益化サイクルが上下から崩される

📝 欧州が「First VPN」を解体、33サーバーを押収しウクライナで管理者を聴取

フランス・オランダ当局がEuropolとEurojustの支援を受け、ランサムウェア攻撃インフラとして使われていた有料VPN「First VPN」を2026年5月19〜20日に解体した。コードネームはOperation Saffron。押収サーバーは33台、1vpns.com/1vpns.net/1vpns.org とTor上の関連ドメインを差し押さえ、ウクライナにいた運営者を聴取した。Europolは捜査で得た506人分の犯罪利用者情報を、83件のインテリジェンスパッケージとして各国当局に配付したと発表している。

📰 Help Net Security報道:「警察は摘発前から犯罪通信を読める状態にあった」

元ネタAuthorities dismantle First VPN, used by ransomware actors(Help Net Security / 2026年5月21日)

“Before the service went offline, the police had access to the criminal traffic of the users of the service, who mistakenly believed themselves to be safe.”(オランダ警察)

First VPNは2014年から稼働し、5,000アカウント超で運用されていた。宣伝は犯罪フォーラム内に限定され、中継回線の組み合わせで料金が変わる「複雑ほど高額」の料金体系だった。捜査の起点はフランス国内被害が積み重なった2021年12月。2022年5月にEurojustが正式案件化し、約3年半の追跡を経て今回の押収に至った。Europolの欧州サイバー犯罪センター所長 Edvardas Šileris は「犯罪者にとっての安全層を1枚剥がした」と述べている。

🔥 25集団・5,000アカウントが12年共有した「業界共通ツール」だった

First VPNの存在感を象徴するEuropolの一言がある。「ここ数年に当局が支援したほぼ全ての主要サイバー犯罪捜査に名前が出た」。利用ランサム集団には、2021年に解体されたAvaddon、そして日本企業への侵入で名前を聞くPhobosが含まれる。Phobos系列はRansomware-as-a-Service形態で2018年12月から稼働し、約1,000社から累計1,600万ドル超の身代金を集めたと米司法省が公表してきた。今回の押収で当局が手にしたのは、2021〜2026年に蓄積されたトラフィックログと利用者データベース。Europolは現在進行中の21件の捜査がこの情報で前進したと明かしている。協力した国は仏・蘭・独・英・米・カナダ・ウクライナなど計18カ国。日本はここに含まれていない。

🇯🇵 日本警察庁は2月にPhobos/8Base復号ツールを先行公開、Phobos被害の復旧は一足早く動いていた

日本との接点は3つある。第一に、警察庁は2026年2月にPhobosと8Baseの押収済みインフラから抽出した復号ツールを英語ガイド付きで公開済み。欧州が今回の上流VPNを叩く前から、日本がPhobos系の被害復旧側を動かしていたという事実だ。Operation Saffronで判明する利用者リストとあわせれば、被害企業の事後対応は加速する。第二に、警察庁2025年集計のサイバー攻撃被害届出件数は226件、過去2番目に多い水準(出典:警察庁/Japan Times 2026-03-12)。Phobos系のシェア低下は確認済みだが、消えてはいない。第三に、JPCERT/CCはENISAが拡張したCVE Program Rootの公式メンバーで、技術情報共有経路は既に成立している。ただし、今回の18カ国の捜査協力枠に日本の捜査当局は入っていない。利用者特定情報や差し押さえデータへの直接アクセスは、JPCERT経由のCVE協力ではなく、警察庁の照会ルートに依存する形になる。Phobosに侵入された日本企業のうち、自社の通信ログとFirst VPNのIPレンジ照合を進められれば、未検出だった侵入痕跡が新たに見つかってもおかしくない。

🏁 復号ツール公開と上流VPN摘発の合わせ技で、Phobos系の収益化サイクルは前後から崩れる

2026年に入ってからのPhobos系の動きを並べると、構造は見える。2月に日本警察が復号ツールを公開、同月にポーランドでPhobosのアフィリエイトが逮捕、そして5月に攻撃インフラの匿名化レイヤーが欧州で剥がれた。1,600万ドル超を稼いだ収益化サイクルから、復号で「身代金を払う動機」が削られ、VPN摘発で「次の攻撃に隠れる場所」が削られた。Avaddonのように完全に消える集団も出るし、新しい匿名化サービスにスライドする集団も当然出る。一方で、Operation Saffronの18カ国に日本の捜査当局が入っていない事実は、技術連携(JPCERT)と捜査連携(警察庁)の役割分担を見直す材料になる。Phobosが日本企業に与えた被害を踏まえれば、ここで日本が捜査協力枠に名前を残せなかったのは、率直に痛い。