【EU】犯罪者向けVPNを欧州警察が摘発。25のランサム集団が使い、日本警察の捜査にもつながる

📝 犯罪者専用VPN「First VPN」が停止、12年続いた匿名サービスに幕

ヨーロッパの警察が、犯罪者だけを客にしていたVPNサービスをひとつ潰した。名前は「First VPN」。2014年から12年にわたって動き続け、追跡を逃れたい攻撃者に「足のつかない通信路」を売っていたサービスだ。フランスとオランダの警察がEuropol（欧州刑事警察機構）の支援を受け、2026年5月19日から20日にかけてサーバー33台を押さえ、運営者をウクライナで聴取した。

ふつうのVPNと何が違うのか。First VPNは一般の利用者には売られていない。広告が出ていたのはロシア語の犯罪フォーラムだけで、運営者は「どの国の司法にも従わない」「利用者のデータは持たない」と公言していた。要は、捜査を振り切ることそのものを売り物にした「防弾VPN」である。それが12年も生き延びていた、という事実のほうが重い。

📰 Europol発表——仏蘭警察がサーバー33台を押収し、運営者をウクライナで聴取

元ネタ：Cybercriminal VPN used by ransomware actors dismantled in global crackdown（Europol / 2026年5月21日）

“Taking it offline removes a critical layer of protection that criminals depended on to operate, communicate and evade law enforcement.”（このサービスを止めたことで、犯罪者が活動・連絡・捜査回避のために頼っていた防御層がひとつ消えた）

そう語ったのは、Europol欧州サイバー犯罪センターのトップ、Edvardas Šileris氏。捜査はフランス国内の被害が発端で、2021年12月に始まった。足かけ5年がかりの作業である。Europolによれば、押収から得た情報は83件のインテリジェンスパッケージにまとめられ、506人分の利用者情報として各国に共有された。摘発前の段階で、警察はすでに利用者の正体をかなりの精度でつかんでいたことになる。

🔥 摘発前から警察は通信を傍受、5,000人の利用者に「あなたは特定済み」と通知

今回の摘発でいちばん効いたのは、サーバーを物理的に止めたことではない。止める前から、警察はFirst VPNを通る通信を覗いていた。

オランダ警察の説明はこうだ。サービスが落ちたあと、全利用者に一通のメッセージが届いた——「このVPNは停止された。あなたは利用者として特定済みである」。匿名だと信じて金を払っていた5,000超のアカウントが、ある朝いっせいに「もう見られていた」と知らされたことになる。FBIも同じ日に注意喚起を出し、少なくとも25のランサムウェア集団がFirst VPNを偵察・侵入・指令通信の隠れ蓑に使っていたとした。

一方で、この種の摘発には冷めた声もある。米メディアTom’s Hardwareは「犯罪インフラと正規サービスの線引きが年々あいまいになっている」と書いた。EUは基本権憲章でプライバシーを保障する建前だが、通信記録の保存を求めるProtectEUや、私的メッセージのスキャンを可能にする”Chat Control”の議論も同時に進んでいる。犯罪者向けの防弾VPNと、合法利用を前提にした一般のプライバシーVPN——この二つを捜査が混同しないか、という警戒だ。First VPN自体は犯罪フォーラム限定の販売で線引きは明確だったが、次の標的もそうとは限らない、という不安が残った。

🇯🇵 押収情報はPhobos捜査に直結、日本の警察庁はすでに同じ国際枠組みにいる

ここで日本の話になる。Europolの発表には、押収データが「ランサムウェア捜査に使える材料を生んだ」とあり、その具体例として名前が挙がったのが「Phobos（フォボス）」だった。

このPhobos、日本と無縁ではない。警察庁は2025年7月、Phobosと派生版「8Base」に暗号化されたファイルを元に戻す復号ツールを公開している。開発したのは関東管区警察局のサイバー特別捜査部で、米FBIの協力を受け、日本警察・FBI・Europolの三者でツールの有効性を確認したものだ。Phobos/8Baseの被害は世界で少なくとも2,000件。日本の警察は、被害企業が無料で使えるツールとして今もサイトで配っている。

つまり構図はこうなる。First VPNを潰した欧州の捜査と、日本の警察庁がPhobosの復号ツールを作った捜査は、同じ国際的な枠組みの上に乗っている。日本はEuropolの加盟国ではないが、ランサムウェア対策では「成果を一緒に取りにいく側」にすでに入っている。

日本企業にとっての実利は地味だが具体的だ。ランサムウェア被害の中心は大企業ではなく中小の製造業で、暗号化されたデータをどう取り戻すかが死活問題になる。Phobosのように復号ツールが出回る系統なら、身代金を払わずに復旧できる見込みがある。被害に遭ったらまず警察庁のサイトを見る——この一手が効く局面は、これから増える。

制度の整備も動いている。政府は2025年12月に新しいサイバーセキュリティ戦略を閣議決定し、能動的サイバー防御の枠組みづくりに入った。官民の協議会は2026年秋に立ち上がる予定だ。攻撃インフラを国際協調で止めにいく——First VPNのようなやり方に、日本が手続きの面でも追いつこうとしている段階といえる。

🏁 ランサム対策は「サーバー単位の摘発」へ、攻撃者が頼った匿名性が崩れ始めた

First VPNの一件が示したのは、ランサムウェア対策の重心が動いたことだ。個々の攻撃者を一人ずつ追って捕まえるのではなく、彼らが共通して使うインフラ——VPN、サーバー、ホスティング——をまとめて止めにいく。33台のサーバーと5,000のアカウントを一度に押さえた今回は、その典型だった。

攻撃者が12年のあいだ金を払って買っていたのは、結局のところ「見られていない」という安心だった。それが偽物だったと全員に通知が届いた時点で、防弾VPNという商品の価値は大きく下がる。日本の警察も同じ国際的な輪の中にいる以上、この変化は対岸の出来事ではない。次に止められるのは、日本を狙う攻撃者が使っているインフラかもしれない。

ランサムウエア追跡チーム はみ出し者が挑む、サイバー犯罪から世界を救う知られざる戦い