「VPNは高いから無料でいい」——その判断が、あなたのデータを売り渡す結果になるかもしれない。
無料VPNの中には、ユーザーのデータ販売、帯域の転売、マルウェアの配布で利益を得ているものがある。この記事では、実際に起きた事件と数字をもとに無料VPNのリスクを解説し、安全な選び方を示す。
無料VPNの実態
まず、数字で現状を把握する。
Top10VPN 2024年調査
セキュリティ調査会社Top10VPNが、Google Playの無料VPNアプリ上位100本(累計25億インストール)を調査した結果:
- 88% がデータ漏洩(IPv4、IPv6、DNS、WebRTCのいずれか)
- 71% が第三者とユーザーデータを共有
- 10% が暗号化に失敗
つまり、Google Playで人気のある無料VPNの大半は、VPNとしての基本的な役割を果たしていない。
CSIRO学術調査(2016年)
オーストラリア連邦科学産業研究機構(CSIRO)がAndroidのVPNアプリ283本を学術的に調査した結果:
- 38% にマルウェアが含まれていた(アドウェア43%、トロイの木馬29%、マルバタイジング17%)
- 18% が暗号化なしのトンネリングを使用
- 84% がIPv6リーク、 66% がDNSリーク
- 75% がサードパーティのトラッキングライブラリを使用
- 82% が連絡先やSMSなどの機密データへのアクセス権限を要求
この調査は2016年のものだが、2024年のTop10VPN調査でも状況はほとんど改善されていない。
実際に起きた事件
「危険かもしれない」ではなく、実際に起きた事件を見る。
911 S5ボットネット(2024年・FBI史上最大)
2024年5月、FBIが「史上最大のボットネット」を解体した。
- 規模: 190カ国以上、1,900万のユニークIPアドレス
- 手口: 6つの偽無料VPNアプリ(MaskVPN、DewVPN、PaladinVPN、ProxyGate、ShieldVPN、ShineVPN)をGoogle Playで配布
- 被害: 犯罪者が得た収益は約$99M(約150億円)。被害総額は「数十億ドル」
- 犯罪用途: 金融詐欺、個人情報窃取、児童搾取、爆破予告、サイバー攻撃
- 逮捕者: 中国国籍のYunHe Wang(35歳)がシンガポールで逮捕
ユーザーは「無料VPN」としてアプリをインストールしただけで、自分のデバイスが犯罪インフラの一部になっていた。
SuperVPNデータ漏洩(2023年)
Google Playで1億回以上ダウンロードされた「SuperVPN」から、3億6,030万件のレコードが漏洩した。
- 漏洩データ: メールアドレス、実IPアドレス、接続先VPNサーバー、閲覧サイト、デバイス情報、位置情報
- 矛盾: SuperVPNは「ノーログポリシー」を掲げていたが、漏洩データがそれを完全に否定した
- 前歴: 2016年と2020年にも同様の漏洩事件を起こしている
「ノーログ」を謳うだけでは信頼できない。第三者の独立監査を受けていないサービスの「ノーログ」は、ただの宣伝文句だ。
UFO VPN + 6社の同時漏洩(2020年)
UFO VPN、FAST VPN、Free VPN、Super VPN、Flash VPN、Secure VPN、Rabbit VPNの7つの無料VPNサービスから、2,000万ユーザーのデータが同時に漏洩した。
- 原因: 7つのサービスが同一のバックエンドを共有していた(香港拠点のホワイトラベル運営)
- 漏洩データ: パスワード(平文)、VPNセッショントークン、ユーザーIP、接続タイムスタンプ、広告インジェクション用ドメイン
- 矛盾: 7サービスすべてが「厳格なノーログポリシー」を掲げていた
別ブランドに見えても裏では同じ会社が運営している——無料VPNでは珍しくないパターンだ。
Hola VPN帯域売却事件(2015年)
5,000万ユーザーを持つ無料VPN「Hola」が、ユーザーの帯域を姉妹会社Luminati経由で$20/GBで商用販売していた。
- 発覚: Hola/Luminati経由で8chanへのDDoS攻撃が行われたことで発覚
- 創業者の回答: 利用規約に書いてあると認めた
- その後: Luminatiは2021年にBright Dataに改名。2017年に過半数の株式が売却され、評価額は約$200M
ユーザーのデバイスが知らないうちにDDoS攻撃の踏み台にされていた。
無料VPNが利益を得る仕組み
無料サービスには必ずビジネスモデルがある。VPNの場合、主に4つだ。
1. データの販売
ユーザーの閲覧履歴、接続元IP、位置情報をデータブローカーや広告ネットワークに販売する。Top10VPNの調査では、無料VPNの71%が第三者とデータを共有していた。
2. 広告のインジェクション
ブラウザにJavaScriptを挿入し、広告を表示する。CSIRO調査ではHotspot Shieldが具体的に名指しされた。UFO VPNの漏洩データにも広告インジェクション用ドメインが含まれていた。
3. 帯域の転売
ユーザーのインターネット回線をプロキシサービスとして商用販売する。Hola VPN/Luminatiが代表例。2024年の911 S5事件も同じ手口だ。
4. マルウェアの配布
VPNアプリ自体にマルウェアを仕込む。2024年にはGoogle Playから18以上の感染VPNアプリが削除され、同年Q3には検出数が2.5倍に増加した。
技術的な問題点
ビジネスモデルの問題とは別に、無料VPNには技術的な欠陥も多い。
暗号化の不備
有料VPNはAES-256-GCMやChaCha20を標準で使用する。無料VPNの中には、暗号化なし、またはすでに安全でないPPTPプロトコルを使用しているものがある。
Kill Switchの欠如
VPN接続が切れた瞬間に実IPアドレスが露出する。有料VPNのKill Switchは接続が切れるとすべての通信を遮断するが、ほとんどの無料VPNにはこの機能がない。
DNSリークとIPv6リーク
VPNトンネルの外にDNSクエリやIPv6トラフィックが漏れる。Top10VPNの調査では88%の無料VPNでリークが確認された。
独立監査の不在
有料VPNのトップ企業は第三者の独立監査を定期的に受けている。無料VPNで独立監査を受けているサービスはほぼ存在しない。「ノーログ」を検証する手段がない。
信頼できる無料VPNはあるか
すべての無料VPNが危険というわけではない。有料サービスの無料ティアとして提供されているものは、比較的信頼できる。
ProtonVPN Free
- データ上限: なし(無料VPNで唯一の無制限データ)
- サーバー: 10カ国
- 同時接続: 1台
- 暗号化: 有料版と同じAES-256/ChaCha20
- 監査: Securitum(2023年)による独立監査済み
- 運営: スイスのProton AG。CERN科学者が設立。広告なし
- 制限: P2P不可、ストリーミング最適化なし、速度が混雑時に低下
Windscribe Free
- データ上限: 10GB/月(メール登録時)
- サーバー: 10カ国
- 同時接続: 無制限
- 機能: R.O.B.E.R.T.(広告/トラッカーブロッカー)、Split Tunneling、ファイアウォール
- 制限: 10GBは動画ストリーミングには不十分
なぜこの2社は信頼できるか
ProtonVPNもWindscribeも、ビジネスモデルが 有料プランへのアップグレード だ。データ販売や広告インジェクションで利益を得る必要がない。これが、他の無料VPNとの根本的な違いだ。
無料VPNと有料VPNの比較
無料VPN(一般的なもの)とNordVPNを機能で比較する。
| 項目 | 一般的な無料VPN | NordVPN |
|---|---|---|
| 料金 | 無料 | $2.99/月〜(2年プラン) |
| ノーログ監査 | なし(自称のみ) | Deloitteによる6回の独立監査 |
| サーバー数 | 数十〜数百台 | 7,000台以上(1110カ国以上) |
| 暗号化 | AES-128以下、または暗号化なし | AES-256-GCM / ChaCha20 |
| プロトコル | 旧式(PPTP等) | NordLynx / OpenVPN / IKEv2 |
| RAM-onlyサーバー | なし | 全サーバー対応 |
| Kill Switch | なし | あり(Internet / App) |
| Split Tunneling | なし | あり(Windows / Android) |
| マルウェア対策 | なし | Threat Protection Pro |
| データ上限 | あり(500MB〜10GB/月) | なし |
| 同時接続 | 1台 | 10台 |
| ビジネスモデル | データ販売 / 広告 / 帯域転売 | サブスクリプション |
| 管轄 | 不明または高リスク(香港等) | パナマ(Five Eyes管轄外) |
月額$2.99(約450円)は、データと安全を守るコストとしては安い。
まとめ
無料VPNのリスクを整理する。
- 88%がデータ漏洩、71%が第三者とデータ共有(Top10VPN 2024年調査)
- FBI史上最大のボットネット が無料VPNアプリで構築された(911 S5、2024年)
- 3.6億レコード漏洩 した「ノーログ」無料VPN(SuperVPN、2023年)
- 無料VPNの収益源は データ販売、広告インジェクション、帯域転売、マルウェア配布
- 信頼できる無料VPNは ProtonVPN Free と Windscribe Free のみ(有料プランへのアップグレードが収益源)
「無料」のコストは、あなたのデータだ。VPNを使うなら、独立監査を受けた有料VPNか、ProtonVPN Freeのような信頼できる無料ティアを選ぶべきだ。
関連記事:
- NordVPN完全レビュー:料金・安全性・速度を技術者が検証
- NordVPNは危険?安全性を技術的に検証する
- NordVPN・ExpressVPN・Surfshark比較
- VPNプロトコル徹底比較:WireGuard・OpenVPN・IKEv2の仕組みと選び方
参考資料:
- Top10VPN — Free VPN App Investigation (2024) — 無料VPNアプリの包括的調査
- CSIRO — An Analysis of the Privacy and Security Risks of Android VPN Permission-enabled Apps (2016) — 学術調査論文
- US DOJ — 911 S5 Botnet Dismantled (2024) — FBI発表