「VPNは高いから無料でいい」——その判断が、あなたのデータを売り渡す結果になるかもしれない。
無料VPNの中には、ユーザーのデータ販売、帯域の転売、マルウェアの配布で利益を得ているものがある。この記事では、実際に起きた事件と数字をもとに無料VPNのリスクを解説し、安全な選び方を示す。そもそもVPNが何かわからない人は、先にVPNとは?初心者向けガイドを読んでほしい。
無料VPNの実態
まず、数字で現状を把握する。
Top10VPN 2024年調査
セキュリティ調査会社Top10VPNが、Google Playの無料VPNアプリ上位100本(累計25億インストール)を調査した結果:
- 88% がデータ漏洩(IPv4、IPv6、DNS、WebRTCのいずれか)
- 71% が第三者とユーザーデータを共有
- 10% が暗号化に失敗
つまり、Google Playで人気のある無料VPNの大半は、VPNとしての基本的な役割を果たしていない。
CSIRO学術調査(2016年)
オーストラリア連邦科学産業研究機構(CSIRO)がAndroidのVPNアプリ283本を学術的に調査した結果:
- 38% にマルウェアが含まれていた(アドウェア43%、トロイの木馬29%、マルバタイジング17%)
- 18% が暗号化なしのトンネリングを使用
- 84% がIPv6リーク、 66% がDNSリーク
- 75% がサードパーティのトラッキングライブラリを使用
- 82% が連絡先やSMSなどの機密データへのアクセス権限を要求
この調査は2016年のものだが、2024年のTop10VPN調査でも状況はほとんど改善されていない。
実際に起きた事件
「危険かもしれない」ではなく、実際に起きた事件を見る。
911 S5ボットネット(2024年・FBI史上最大)
2024年5月、FBIが「史上最大のボットネット」を解体した。
- 規模: 190カ国以上、1,900万のユニークIPアドレス
- 手口: 6つの偽無料VPNアプリ(MaskVPN、DewVPN、PaladinVPN、ProxyGate、ShieldVPN、ShineVPN)をGoogle Playで配布
- 被害: 犯罪者が得た収益は約$99M(約150億円)。被害総額は「数十億ドル」
- 犯罪用途: 金融詐欺、個人情報窃取、児童搾取、爆破予告、サイバー攻撃
- 逮捕者: 中国国籍のYunHe Wang(35歳)がシンガポールで逮捕
ユーザーは「無料VPN」としてアプリをインストールしただけで、自分のデバイスが犯罪インフラの一部になっていた。自分のデータが流出していないか心配なら、ダークウェブで個人情報が漏洩していないか確認する方法もチェックしておこう。
SuperVPNデータ漏洩(2023年)
Google Playで1億回以上ダウンロードされた「SuperVPN」から、3億6,030万件のレコードが漏洩した。
- 漏洩データ: メールアドレス、実IPアドレス、接続先VPNサーバー、閲覧サイト、デバイス情報、位置情報
- 矛盾: SuperVPNは「ノーログポリシー」を掲げていたが、漏洩データがそれを完全に否定した
- 前歴: 2016年と2020年にも同様の漏洩事件を起こしている
「ノーログ」を謳うだけでは信頼できない。第三者の独立監査を受けていないサービスの「ノーログ」は、ただの宣伝文句だ。
UFO VPN + 6社の同時漏洩(2020年)
UFO VPN、FAST VPN、Free VPN、Super VPN、Flash VPN、Secure VPN、Rabbit VPNの7つの無料VPNサービスから、2,000万ユーザーのデータが同時に漏洩した。
- 原因: 7つのサービスが同一のバックエンドを共有していた(香港拠点のホワイトラベル運営)
- 漏洩データ: パスワード(平文)、VPNセッショントークン、ユーザーIP、接続タイムスタンプ、広告インジェクション用ドメイン
- 矛盾: 7サービスすべてが「厳格なノーログポリシー」を掲げていた
別ブランドに見えても裏では同じ会社が運営している——無料VPNでは珍しくないパターンだ。
Hola VPN帯域売却事件(2015年)
5,000万ユーザーを持つ無料VPN「Hola」が、ユーザーの帯域を姉妹会社Luminati経由で$20/GBで商用販売していた。
- 発覚: Hola/Luminati経由で8chanへのDDoS攻撃が行われたことで発覚
- 創業者の回答: 利用規約に書いてあると認めた
- その後: Luminatiは2021年にBright Dataに改名。2017年に過半数の株式が売却され、評価額は約$200M
ユーザーのデバイスが知らないうちにDDoS攻撃の踏み台にされていた。
無料VPNが利益を得る仕組み
無料サービスには必ずビジネスモデルがある。VPNの場合、主に4つだ。
1. データの販売
ユーザーの閲覧履歴、接続元IP、位置情報をデータブローカーや広告ネットワークに販売する。Top10VPNの調査では、無料VPNの71%が第三者とデータを共有していた。
2. 広告のインジェクション
ブラウザにJavaScriptを挿入し、広告を表示する。CSIRO調査ではHotspot Shieldが具体的に名指しされた。UFO VPNの漏洩データにも広告インジェクション用ドメインが含まれていた。
3. 帯域の転売
ユーザーのインターネット回線をプロキシサービスとして商用販売する。Hola VPN/Luminatiが代表例。2024年の911 S5事件も同じ手口だ。
4. マルウェアの配布
VPNアプリ自体にマルウェアを仕込む。2024年にはGoogle Playから18以上の感染VPNアプリが削除され、同年Q3には検出数が2.5倍に増加した。
技術的な問題点
ビジネスモデルの問題とは別に、無料VPNには技術的な欠陥も多い。
暗号化の不備
有料VPNはAES-256-GCMやChaCha20を標準で使用する。無料VPNの中には、暗号化なし、またはすでに安全でないPPTPプロトコルを使用しているものがある。
Kill Switchの欠如
VPN接続が切れた瞬間に実IPアドレスが露出する。有料VPNのKill Switchは接続が切れるとすべての通信を遮断するが、ほとんどの無料VPNにはこの機能がない。IPアドレスが漏れるとなぜ危険なのかはIPアドレスを隠す方法ガイドで詳しく解説している。
DNSリークとIPv6リーク
VPNトンネルの外にDNSクエリやIPv6トラフィックが漏れる。Top10VPNの調査では88%の無料VPNでリークが確認された。
独立監査の不在
有料VPNのトップ企業は第三者の独立監査を定期的に受けている。無料VPNで独立監査を受けているサービスはほぼ存在しない。「ノーログ」を検証する手段がない。
有料VPNの中で、NordVPNは月額数百円でKill Switch、DNS漏洩防止、第三者監査済みのノーログポリシーが揃っている。30日間の返金保証付きで試せる。
信頼できる無料VPNはあるか
すべての無料VPNが危険というわけではない。有料サービスの無料ティアとして提供されているものは、比較的信頼できる。
ProtonVPN Free
- データ上限: なし(無料VPNで唯一の無制限データ)
- サーバー: 10カ国
- 同時接続: 1台
- 暗号化: 有料版と同じAES-256/ChaCha20
- 監査: Securitum(2023年)による独立監査済み
- 運営: スイスのProton AG。CERN科学者が設立。広告なし
- 制限: P2P不可、ストリーミング最適化なし、速度が混雑時に低下
Windscribe Free
- データ上限: 10GB/月(メール登録時)
- サーバー: 10カ国
- 同時接続: 無制限
- 機能: R.O.B.E.R.T.(広告/トラッカーブロッカー)、Split Tunneling、ファイアウォール
- 制限: 10GBは動画ストリーミングには不十分
なぜこの2社は信頼できるか
ProtonVPNもWindscribeも、ビジネスモデルが 有料プランへのアップグレード だ。データ販売や広告インジェクションで利益を得る必要がない。これが、他の無料VPNとの根本的な違いだ。
無料VPNと有料VPNの比較
無料VPN(一般的なもの)と NordVPN を機能で比較する。
| 項目 | 一般的な無料VPN | NordVPN |
|---|---|---|
| 料金 | 無料 | $2.99/月〜(2年プラン) |
| ノーログ監査 | なし(自称のみ) | 6回の独立監査(PwC、Deloitte) |
| サーバー数 | 数十〜数百台 | 7,400台以上(118カ国以上) |
| 暗号化 | AES-128以下、または暗号化なし | AES-256-GCM / ChaCha20 |
| プロトコル | 旧式(PPTP等) | NordLynx / OpenVPN / IKEv2 |
| RAM-onlyサーバー | なし | 全サーバー対応 |
| Kill Switch | なし | あり(Internet / App) |
| Split Tunneling | なし | あり(Windows / Android) |
| マルウェア対策 | なし | Threat Protection Pro |
| データ上限 | あり(500MB〜10GB/月) | なし |
| 同時接続 | 1台 | 10台 |
| ビジネスモデル | データ販売 / 広告 / 帯域転売 | サブスクリプション |
| 管轄 | 不明または高リスク(香港等) | パナマ(Five Eyes管轄外) |
月額$2.99(約450円)は、データと安全を守るコストとしては安い。
世界最大級のVPN。高速・安全・使いやすい
- 6,400+サーバー(111カ国)
- 独自プロトコルNordLynx(WireGuardベース)
- Threat Protection Pro(広告・マルウェアブロック)
よくある質問
無料VPNでネットバンキングは安全?
安全ではない。無料VPNの88%にデータ漏洩があり(Top10VPN 2024年調査)、暗号化の不備やKill Switchの欠如で銀行の認証情報が漏れるリスクがある。ネットバンキングにはAES-256暗号化と監査済みノーログポリシーを持つ有料VPNを使うべきだ。
無料VPNでパスワードは盗まれる?
盗まれる可能性がある。CSIRO調査では38%のVPNアプリにマルウェアが含まれていた。2023年のSuperVPN漏洩では、パスワードと閲覧データがセットで流出した——「プライバシーを守る」はずのアプリから。
なぜ無料VPNは無料なのか?
収益源は4つ: ユーザーデータのブローカーへの販売(71%が該当)、ブラウザへの広告インジェクション、帯域のプロキシとしての転売、マルウェアの配布。例外はProtonVPNのような有料サービスの無料ティアで、有料プランへの転換が目的だ。
ProtonVPN Freeは本当に安全?
安全だ。有料版と同じAES-256/ChaCha20暗号化を使用し、Securitumの独立監査を複数回受けている。スイス拠点で、ビジネスモデルは有料プランへのアップグレード——データの収益化ではない。
無料VPNと有料VPNの無料ティアの違いは?
単体の無料VPNはデータ販売以外に収益がないため、ユーザーデータを収益化する必要がある。有料VPNの無料ティア(ProtonVPN、Windscribe)はサブスクリプション収益があるため、データ販売に頼る必要がない。
無料VPNでマルウェアに感染する?
する。CSIRO調査ではAndroid VPNアプリの38%にマルウェアが確認された。2024年にはGoogle Playから18以上の感染VPNアプリが削除され、911 S5ボットネットは6つの偽無料VPNアプリで1,900万台のデバイスを取り込んだ。
無料VPNでIPアドレスは本当に隠れる?
ほとんどの場合、隠れない。Top10VPNの調査では88%の無料VPNでIPv4、IPv6、DNS、WebRTCのいずれかのリークが確認された。VPN接続中でも実IPが露出している状態だ。確実にIPを隠す方法はIPアドレスを隠す方法ガイドを参照。
まとめ
無料VPNのリスクを整理する。
- 88%がデータ漏洩、71%が第三者とデータ共有(Top10VPN 2024年調査)
- FBI史上最大のボットネット が無料VPNアプリで構築された(911 S5、2024年)
- 3.6億レコード漏洩 した「ノーログ」無料VPN(SuperVPN、2023年)
- 無料VPNの収益源は データ販売、広告インジェクション、帯域転売、マルウェア配布
- 信頼できる無料VPNは ProtonVPN Free と Windscribe Free のみ(有料プランへのアップグレードが収益源)
「無料」のコストは、あなたのデータだ。たまに使う程度なら、ProtonVPN Freeが最も信頼できる選択肢。本格的にVPNを使うなら、上の比較表を見て有料VPNを検討してほしい。
関連記事:
- VPNとは?初心者向け完全ガイド
- フリーWiFiの危険性と安全に使う方法
- NordVPN完全レビュー:料金・安全性・速度を技術者が検証
- NordVPN・ExpressVPN・Surfshark比較
- VPNプロトコル徹底比較:WireGuard・OpenVPN・IKEv2の仕組みと選び方
参考資料: