世界を動かす技術を、日本語で。

プロトンメールがFBIに匿名の「ストップ・コップ・シティ」抗議者を特定する手助けをした

2026年3月6日原文(404media.co)

概要

Proton Mailがスイス当局に支払いデータを提供し、FBIがその情報を使ってStop Cop City運動の匿名アカウントを特定した事例。 Proton Mailはエンドツーエンド暗号化とスイスのプライバシー法に基づく運用を強調。 提供された情報はDefend the Atlanta Forest(DTAF)およびStop Cop City運動と関連。 運動はアトランタの警察訓練施設建設への抗議活動として発生。 60人以上への容疑は後に取り下げられた経緯。

Proton Mailが支払いデータをスイス当局に提供した事例

  • Proton Mail はエンドツーエンド暗号化と スイスのプライバシー法 を強調するメールサービス
  • スイス当局に 支払いデータ を提供し、その情報が FBI によるStop Cop City運動の匿名アカウント特定に利用された事例
  • 対象アカウントは Defend the Atlanta Forest (DTAF)グループ およびStop Cop City運動に関連
  • Stop Cop City運動はアトランタのIntrenchment Creek Park隣接地に建設予定の 警察訓練施設 への抗議活動
  • 抗議活動には 放火・器物損壊・個人情報晒し(doxing) などが含まれ、森林内キャンプや訴訟も実施
  • 当局の捜査後、 60人以上への容疑 が取り下げられた経緯

Proton Mailのプライバシーと第三者への情報提供

  • Proton Mail はエンドツーエンド暗号化により メール内容 自体は提供できない仕組み
  • ただし、スイス法に基づき 支払い情報やログデータ など一部情報は当局要請で提供可能
  • 今回のケースで提供されたのは 支払いデータ であり、匿名性維持に影響
  • プライバシー重視を掲げるサービスでも、 法的要請 には一定の対応が必要となる現実

Stop Cop City運動の概要とその後

  • Stop Cop City運動は 大規模な警察訓練センター建設反対 を目的とした市民運動
  • DTAFグループ を中心に、森林保護や市民権利擁護を訴える活動
  • 抗議手段として キャンプ・訴訟・直接行動 など多様な方法を展開
  • 当局による捜査・逮捕が行われたが、 60人以上の容疑が後に取り下げ られた事実

プライバシーサービス利用時の留意点

  • 匿名性やプライバシー を重視する場合でも、 支払い情報 などから個人特定が可能なリスク
  • サービス利用時は 利用規約・法的対応方針 を確認する重要性
  • 完全な匿名性を保つには、 支払い方法や通信手段の工夫 が求められる現実

Hackerたちの意見

プロトンメールはエンドツーエンドの暗号化とスイスのプライバシー法に基づいていることを誇りに思っているが、第三者に提供できるデータの種類についての洞察を提供している。プロトンは、スイス政府を信用できないからサーバーをスイスの外に移転すると言ってなかったっけ?でも、今回は請求情報とクレジットカード情報が必要だったから、サーバーの場所は関係なかったのかな。

エンドツーエンドの暗号化を誇りに思っている 彼らのエンドツーエンドの暗号化は無意味だよ。ほとんどの受信者は自分のアカウントプロバイダーを通じてプレーンテキストのメールを漏らしちゃうから。特定の状況下でしか機能しない(全員がそれを使っている場合)。彼らのマーケティングは、実際の安全なプライベートメールの意味を過大評価していると思う。

プロトンは、スイス政府を信用できないからサーバーをスイスの外に移転すると言ってなかったっけ? 彼らはドイツに移転したいと言ってたけど、これに関してはもっと悪いと思う。

人々は絶対に理解しないだろうけど、プロトンはプライバシー重視のメールサーバーで、好き勝手できるダークウェブじゃない。プロトンはあなたのIPアドレスとデバイスIDにしかアクセスできないし、データにはアクセスできない。IPとデバイスIDがあれば、ISPを探すようにユーザーを簡単に追跡できる。悪いことしたいの?そんなサービスは使わない方がいいよ。皮肉なことに、この404メディアがこの情報を扱っている唯一の場所で、全部読むにはログインが必要なんだ。うーん、これは大きな赤信号だね!!

プロトンはオペレーションセキュリティじゃなくて、法律を守り、令状に従わなきゃいけない商業的なクリアウェブホストの中では一番いいだけ。メタデータを勝手に売ったり、広告技術のゴミに関わったりはしない。カギはGoogleに対するプロトンのようなもので、ウェブメール、カスタムドメイン、そこそこいいセキュリティ、スパム検出、しっかりした機能があって、個人情報も売られない。シンプルでクリーン、いい感じだし、彼らにお金を払うのも好き。彼らとビジネスするのは気分がいいし、最近はそんなことあんまりないからね。

404メディアは素晴らしい実績があって、信頼できるよ。「赤信号」が彼らに当てはまるって言うなら。

それが404メディアのアプローチなんだ。だから、僕は彼らの見出しだけを読むことにしてる。理論的には、トールを使ってビットコインでプロトンメールのアカウントを開設できるかもしれないけど(もうできないのかな?)。彼らを試したのはかなり前だから、今はどうか分からない。もう彼らを勧めない理由は、サブスクリプションを延長しなかったら(アカウントがダウングレードされると思って)、メールがロックされて、メールがランダムに保持されることになったから。支払いのためだけにログインできた。それが一つ目の赤信号で、二つ目はフランスの抗議者のIPアドレスログを共有したこと。E̶v̶e̶n̶ ̶t̶h̶o̶u̶g̶h̶ ̶a̶t̶ ̶t̶h̶e̶ ̶t̶i̶m̶e̶ ̶t̶h̶e̶y̶ ̶h̶a̶d̶ ̶a̶ ̶n̶o̶ ̶l̶o̶g̶s̶ ̶p̶o̶l̶i̶c̶y̶,̶ ̶i̶f̶ ̶I̶ ̶r̶e̶m̶e̶m̶b̶e̶r̶ ̶c̶o̶r̶r̶e̶c̶t̶l̶y̶.̶ ̶O̶r̶ ̶i̶f̶ ̶I̶ ̶d̶o̶n̶'̶t̶.̶

404メディアのログインゲートが赤信号だとは思わないな。彼らはお金を稼ぐ必要があるビジネスで、サブスクリプションの代わりが広告だとしたら、ユーザーの安全にとっては今よりずっと悪くなると思う。

こちらです: https://archive.ph/Zvw3O

ProtonはあなたのIPアドレスとデバイスIDにしかアクセスできないので、データにはアクセスできません。私はProtonが好きです。Protonを使っています。ただ、Protonの問題は、ウェブブラウザを通じてメールにアクセスすると、ProtonMailがJSを使ってウェブアプリ内からメールを読むことを止めるものがないということです。この種の攻撃は、当局の命令で行われる可能性があります。だから、実際にはProtonはあなたのメールを読むことができるかもしれません(ウェブメールを使っている場合に限ります)。

いたずらしたいの?そんなサービスは使わない方がいいよ。本当にそういうことがあったの? https://en.wikipedia.org/wiki/Stop_Cop_City

確かに、他のメールプロバイダーから来るメールや送るメールにはアクセスできるよ。だって、それらはエンドツーエンドで暗号化されてないからね。移送中だけ暗号化されている(それもオプションだし)。だから、送信時には平文を扱う必要があるんだ。Protonのこの点が本当に嫌いで、彼らは常に暗号化について語っているけど、彼らのSMTPサーバーで見たほとんどのメールは平文なんだ。だって、SMTPはそういうものだから。そして、相手のプロバイダーも同じ。彼らがあなたのメールボックスに入れた後は、再び復号化できないけど、私は常に一度の露出を機密性の喪失と考えるんだ。このことが当てはまらないメールは、PGPを使っている人(ああ、三人しかいないけど)やProtonを使っている人からのものだけだよ。私の見解では、このアキレス腱が彼らの保護のほとんどを無意味にしていると思う。でも、彼らはそれをSignalのメール版のように宣伝しているけど、実際には移送中に何を言っているか見えないんだよね。そして、技術に詳しくない人はその違いを全く理解していない。追記: この問題に対する技術的解決策がないことをProtonを責めているわけじゃないよ。相互運用性が解決不可能な問題にしているからね。でも、彼らのマーケティングには文句を言いたい。

Hacker Newsで議論の続きを見る