### サイバー犯罪VPNを標的とした国際オペレーション 欧州と北米の当局は、ランサムウェア攻撃、データ侵害、スキャン活動、およびサービス拒否攻撃の発生源を隠蔽するために使用されていた犯罪用VPNサービス「First VPN Service」の活動を阻止したと発表しました。フランスとオランダが主導し、2021年12月以降、多数の国が支援したこのオペレーションは「Operation Saffron」と名付けられました。 参加国は、ルクセンブルク、ルーマニア、スイス、ウクライナ、英国、カナダ、ドイツ、米国、スペイン、スウェーデン、デンマーク、エストニア、ラトビア、リトアニア、ポーランド、ポルトガルです。 ### First VPN：サイバー犯罪のための匿名性 **Europol**によると、First VPNは犯罪利用に特化したサービスを提供していました。これには、匿名での支払いと、顧客がランサムウェア攻撃、大規模な詐欺、データ窃盗を実行する際に身元を隠蔽するのに役立つ隠しインフラが含まれていました。このサービスは、Exploit[.]inやXSS[.]isのようなロシア語圏のサイバー犯罪フォーラムで、法執行機関の追跡を回避するためのツールとして積極的に宣伝されていました。 ### 摘発の詳細 国際的なオペレーションは5月19日から20日にかけて実施されました。当局はサービス管理者への事情聴取、ウクライナでの家宅捜索、33台のサーバーの停止、および世界中のインフラの差し押さえを行いました。 押収されたドメインには以下が含まれます： * 1vpns[.]com * 1vpns[.]net * 1vpns[.]org * Torネットワーク上で動作する関連するオニオンドメイン **Eurojust**は、「First VPNのウェブサイトは、匿名性を強調し、ユーザーに司法当局とは協力しないこと、データを保存しないこと、サービスはいかなる管轄権にも服さないことを約束することで宣伝していました」と述べています。 ### ユーザーデータの漏洩 EuropolはFirst VPNのユーザーに対し、彼らの身元が当局に把握されたことを通知しました。調査に協力し、506人のユーザーに関する情報を提供した**Bitdefender**は、匿名化サービスの妨害はサイバー犯罪者のオペレーションコストを増加させると強調しました。 Bitdefenderは、「新しい匿名化サービスが現れるでしょう。経済的な需要は変わっていません。しかし、各摘発は次のサービスの運用期間を短縮し、ターンキーソリューションに依存していた攻撃者の障壁を上げます。First VPNは、法執行機関の手の届かないところに自分たちを置いてくれると信頼できるサービスとして宣伝していました。このオペレーションは、その主張が間違っていることを証明し、次に匿名化サービスを評価するすべての攻撃者は、同じリスクが存在することを知るでしょう」と述べています。 ### FBIフラッシュアラート **米国連邦捜査局（FBI）**は、このサービスが約2014年から活動しており、27カ国に32の出口ノードサーバーを運用していたことを指摘する、協調されたフラッシュアラートを発行しました。これらの出口ノードのうち3つは米国にありました： * 2.223.66[.]103 * 5.181.234[.]59 * 92.38.148[.]58 その他の出口ノードは、オーストラリア、オーストリア、ベルギー、カナダ、キプロス、フィンランド、フランス、ドイツ、香港、イタリア、ラトビア、ルクセンブルク、モルドバ、オランダ、パナマ、ポーランド、ルーマニア、ロシア、セルビア、シンガポール、スペイン、スウェーデン、スイス、トルコ、ウクライナ、英国など、さまざまな国にありました。 ### ランサムウェアとの関連 **Avaddon Ransomware**を含む少なくとも25のランサムウェアグループが、ネットワーク偵察と侵入のためにFirst VPNインフラを利用していたと報告されています。サブスクリプション期間は1日から1年までで、価格は1日あたり2ドルから1年間で483ドルまで様々でした。支払いはBitcoin、Perfect Money、Webmoney、EgoPay、InterKassで受け付けられていました。 ### 技術的詳細 FBIは、「First VPN Serviceは、OpenConnect、WireGuard、Outline、VLess TCP Realityを含むいくつかの接続プロトコルと、OpenVPN ECC、L2TP/IPSec、PPtPを含む複数の暗号化オプションを提供していました」と述べています。 「技術サポートは、自己ホスト型のJabberサーバーとTelegram暗号化メッセージングサービスを介してもユーザーに提供されていました。VPNプロトコルオプションの中で、First VPN Serviceは「VLESS」と「Reality」を提供しており、これはVPNインターネットトラフィックを、ウェブサイトへの接続に一般的に使用されるポート上のHTTPSトラフィックとして偽装する機能を提供します。」 ### 匿名性の虚偽の約束 Internet Archiveでキャプチャされたスナップショットによると、First VPNは「匿名性、安定性、セキュリティ」を宣伝し、「当社または第三者が特定の期間におけるIPアドレスを当社のサービス利用者と関連付けることを可能にするログは一切保存しません」と主張していました。 サービスはまた、「当社が保存する唯一のデータは電子メールとユーザー名ですが、ユーザーのインターネット活動を特定のサービス利用者と結びつけることは不可能です」と述べていました。 責任を軽減するため、First VPNはFAQで、サーバーの違法行為への使用を「厳格に」禁止していると述べていました。「これにより、当社のサーバーに関する苦情を受け付けることが容易になり、結果として無効化されます」とFAQには記載されていました。