ランサムウェアで数十億ドルを奪ったのは攻撃グループですが、今回米財務省が資産を凍結したのは、彼らに通信を隠すVPNを売っていた事業者でした。しかもその1VPNSは「ログを取らない」を売りにしていたのに、当局は利用者データベースを手に入れています。守られていたはずの匿名性は、どこで裏返ったのでしょうか。
米財務省外国資産管理局(OFAC)は2026年7月13日、米国民を標的とするランサムウェア攻撃を支援したとして、個人2名と団体1者を制裁対象に指定しました。
対象は、VPN事業者First VPN Service(1VPNS)と管理者ドミトロ・ラシェフスキー、およびクリプター提供者でベラルーシ国籍のイェフゲニー・ウラジミロヴィチ・シラエフです。1VPNSは2014年以降サイバー犯罪フォーラムで宣伝され、被害者には米国の企業、金融サービス会社、病院、地方自治体が含まれます。財務省によると、これらのサービスを利用したランサムウェア集団は、米国の企業や重要インフラに数十億ドル規模の損失をもたらしたとされます。今回の措置は英国のFCDOと連携し、2026年5月に欧州の法執行機関がFBIボストン支局の支援を受けて実施した1VPNSの摘発に続くものです。指定は、大統領令14390の政策を推進する措置として、改正後の大統領令13694を法的根拠に実施されました。
【編集部解説】
今回の制裁で、多くの人が最初に抱く疑問はおそらくこうでしょう。「なぜ、ランサムウェアの攻撃者そのものではなく、VPN事業者が狙われたのか」。
答えは、この一手が「攻撃者狩り」ではなく「攻撃を可能にする土台の解体」を狙ったものだからです。ランサムウェアの世界では、攻撃グループそのものは意外に簡単に生まれ変わります。名前を変え、メンバーを組み替え、また活動を再開する。いくら実行犯を追っても、モグラたたきになりがちなのです。
そこで各国当局が視線を移したのが、攻撃者たちが共通して頼る「道具屋」と「隠れ蓑」の層でした。今回名指しされた1VPNSは通信の出所を隠す匿名化インフラを、シラエフが売る「クリプター」はマルウェアを無害なファイルに偽装する回避ツールを、それぞれ供給していました。ネットワーク上での匿名性と、端末上での検知回避。攻撃を成立させる二つの半分が、同時に制裁対象になったわけです。
なお、財務省発表では、シラエフは1VPNSとは別枠の指定対象として記載されており、両者の組織的な関係は示されていません。一部報道は、シラエフを1VPNSとは無関係の供給者だと伝えています。財務省が両者を並べて指定したのは、両者が「攻撃を可能にするサプライチェーン」の異なる部品だったからだと解釈できます。
もう一つ注目されるのが、一部報道で、これがVPN事業者がランサムウェアの幇助を理由に正式に制裁された初めてのケースとされている点です。OFAC自身は「初」と明言していませんが、VPNや暗号化は、本来はプライバシーを守るための正当な技術です。その正当な技術を「犯罪専用」に仕立て直したサービスに、国家が経済制裁という重い札を切った ── ここに今回のニュースの新しさがあります。
背景を補うと、この制裁は突然降ってきたものではありません。1VPNSに対する捜査は2021年12月に始まりました。当局は長期の捜査の末にサービスへアクセスして利用者データベースを取得し、2026年5月19日から20日にかけて摘発が実行されました。「オペレーション・サフラン」と名付けられたこの作戦では、33台のサーバーが無力化され、506の利用者アカウント等に関連する情報が参加国間で共有されています。1VPNSのノードは約27か国に広がり、作戦には18か国が参加しました。同サービスは2014年から10年以上稼働し、少なくとも25のランサムウェアグループに使われていたとされます。今回の制裁は、この摘発に続く措置として、実行犯だけでなく運営者個人についても、米国の管轄が及ぶ資産や取引を封じる役割を担っています。
ここで、テクノロジーに関心のある読者ほど立ち止まってほしい論点があります。1VPNSは「ログを取らない」「当局に協力しない」を売りにしていました。にもかかわらず、当局は最終的にサービスへアクセスし、利用者データベースを取得したうえで、506の利用者アカウント等に関連する情報を参加国間で共有しています。ここから見えてくるのは、「ノーログ」を掲げていても、サービスが保有する顧客情報や運営インフラなど、接続ログとは別の情報が捜査対象になり得るという事実です。もちろん1VPNSは犯罪特化型の特殊なサービスであり、一般的な商用VPNと同列には論じられません。それでも、「匿名性の保証」とは何によって担保されるのか、という問いを私たちに突きつけます。
長期的な視点で見ると、この手法の効果には冷静な評価も必要です。今回指定された個人はいずれも米国外の国籍・所在地を持ち、米国の刑事司法だけで直接責任を追及することには限界があります。ただし、ラシェフスキーについてはウクライナ国内で家宅捜索などの対象となっており、司法の手がまったく届かないわけでもありません。資産凍結が実際にどこまで痛手になるかは未知数で、匿名化サービスへの需要そのものが消えるわけでもありません。摘発に協力したセキュリティ企業自身が、「新たな匿名化サービスは必ず現れる。それでも一つひとつの摘発が、次のサービスの寿命を縮め、参入の壁を高くする」と述べているのは示唆的です。つまり狙いは根絶ではなく、犯罪の「運用コスト」を継続的に引き上げていくことにあると読み取れます。
そして、これは決して対岸の火事ではありません。ランサムウェアの被害は日本の企業や公共サービスにも及んでおり、攻撃を支える匿名化・回避インフラは国境を越えて共有されています。攻撃者の足場を国際連携で一つずつ崩していくという今回のアプローチは、私たちの社会の安全にも直結する動きなのです。
【関連記事】
ロシアがサイバー犯罪者取り締まり強化、Operation Endgameが転機に
攻撃者本体ではなく、それを支える犯罪エコシステムを国際連携で崩す動きを解説。今回の「土台を断つ」戦略と同じ軸に立つ記事である。
XSSフォーラム管理者逮捕|ロシア語圏最大級サイバー犯罪プラットフォーム摘発の衝撃
ウクライナでの管理者逮捕、フランス主導の長期捜査という1VPNS事案と似た構図。犯罪者が集う「場」を潰す取り組みを扱う。
警察庁サイバー脅威レポート最新版|過去最悪の被害額が並んだ1年間
ランサムウェア被害が日本にも及ぶ実態を国内データで示す。「対岸の火事ではない」という本記事の指摘を裏づける。
【編集部後記】
気になるのは、1VPNSが約27か国にサーバーを分散させ、ログも取らないと公言していたにもかかわらず、フランスとオランダの当局が利用者データベースごと手に入れていた点です。技術的な多重化や無記録の運用が、必ずしも「たどれない」を意味しなかったわけです。
犯罪特化型のサービスと商用VPNは別物です。それでも、自分が使うサービスの「ログを取らない」という一文が、サーバーの押収や運営者の協力といった別ルートの前でどこまで持ちこたえるのか。その担保の中身を、私たちは案外知らないままなのかもしれません。
【用語解説】
ランサムウェア
コンピューターやサーバー内のデータを暗号化して使用不能にし、復旧と引き換えに身代金(ランサム)を要求するマルウェアの総称である。近年は、データを盗み出したうえで「公開されたくなければ払え」と脅す二重脅迫の手口も広く用いられている。
VPN(仮想プライベートネットワーク)
通信を暗号化し、接続元のIPアドレス(ネットワーク上の識別子で、所在地の推定にも使われる)を隠す技術である。本来は公衆Wi-Fiでの盗聴防止やプライバシー保護といった正当な用途を持つが、悪用されれば攻撃の発信元を隠す道具にもなる。1VPNSは、この匿名性を犯罪者向けに特化させたサービスだったとされる。
クリプター(cryptor)
マルウェアを暗号化・難読化し、無害なファイルに見せかけて、ウイルス対策ソフトなどの検知をすり抜けさせるツールである。難読化技術そのものには正当な用途もあるが、今回OFACが問題視したクリプターは、マルウェアの隠密性と有効性を高めるために供給されていたとされる。
ノーログ(no-logs)
利用者の接続履歴や活動記録を保存しないとうたう運用方針である。ただし対象とするデータや例外はサービスごとに異なる。1VPNSはこれを売りにしていたが、今回公表された範囲では、捜査当局が利用者データベースを取得しており、この方針を掲げるサービスでも接続ログとは別の情報が捜査対象になり得ることが示された。
オペレーション・サフラン(Operation Saffron)
2026年5月19日から20日にかけて、フランスとオランダが主導し、欧州刑事警察機構(Europol)などが支援して実施された1VPNSの摘発作戦の名称である。今回のOFAC制裁は、この摘発に続く措置に位置づけられる。
大統領令(E.O.)13694/14390
E.O. 13694は、米国に脅威を与えるサイバー活動への制裁の法的根拠となる大統領令で、その後の複数の令によって改正されている。E.O. 14390は2026年3月6日に発出され、サイバー犯罪や詐欺から米国民を守るよう政府機関に命じるもので、今回の指定はこの政策を推進する措置として実施された。
【参考リンク】
OFAC(外国資産管理局)(外部)
経済制裁を執行する米財務省の一部門。SDNリストの公開や制裁の運用ガイダンスを提供している。
FBI(連邦捜査局)(外部)
今回の摘発をボストン支局が支援し、1VPNSの手口に関する勧告を公表した米国の捜査機関。
Foreign, Commonwealth & Development Office(英国 外務・英連邦・開発省)(外部)
今回の制裁で米国と連携し、同日に他のサイバー犯罪者らへ制裁を実施した英国政府の省庁。
Europol オペレーション・サフラン発表ページ(外部)
1VPNS摘発の詳細(無力化サーバー数や共有された利用者情報など)を伝えるEuropolの公式発表。
Bitdefender(オペレーション・サフラン解説)(外部)
摘発を情報面で支援したセキュリティ企業による、作戦の背景と意義を解説した公式ブログ。
【参考記事】
First VPN Dismantled in Global Takedown Over Use by 25 Ransomware Groups(The Hacker News)(外部)
2021年12月に捜査が始まり、少なくとも25のランサムウェアグループが1VPNSを利用、18か国が関与したと伝える詳報。
Operation Saffron: Bitdefender Joins “First VPN” Takedown(Bitdefender)(外部)
33台のサーバー無力化、506利用者に関連する情報の共有、83件の情報パッケージ配布など作戦の数値を詳述する。
US sanctions VPN, malware providers for enabling ransomware attacks(BleepingComputer)(外部)
今回の制裁を報じ、摘発が「オペレーション・サフラン」と名付けられ33台のサーバーが無力化されたと伝える。
Europol Watched for Three Years Before Pulling the Plug on First VPN(State of Surveillance)(外部)
長期捜査を分析。利用グループの一つとしてAvaddonの名を挙げ、VPNの信頼問題を掘り下げる。
OFAC Sanctions FirstVPN and Ransomware Enablers Behind Attacks on Americans(TRM Labs)(外部)
制裁が「攻撃を支える層」を狙ったと分析し、Anubisが計715ドルを送金した痕跡を報告する。
U.S. Sanctions First VPN Service (1VPNS) and Belarusian Cryptor Provider(Rescana)(外部)
VPN事業者がランサムウェア幇助で制裁された初のケースだと報じ、その意義を強調する。
VPN service favored by ransomware groups is sanctioned by US(The Record)(外部)
シラエフがFirst VPNとは別の独立した供給者であることを明記し、二層構造を伝える。












