フリーWiFiは本当に危険？2026年の実態と安全に使う方法

「フリーWiFiは危険だから使うな」——この言葉を何度も聞いたことがあるだろう。カフェ、空港、ホテル。便利なフリーWiFiを前にして、毎回「大丈夫かな」と不安になるのは疲れる。

結論から言うと、2026年現在のフリーWiFiは 以前よりずっと安全になった 。ただし、すべてのリスクが消えたわけではない。この記事では、何が安全になって何がまだ危険なのかを整理し、具体的な対策を解説する。

フリーWiFiは以前より安全になった

まず事実を整理しよう。2026年現在、ウェブトラフィックの 約90%がHTTPS で暗号化されている。これは10年前とはまったく違う状況だ。

HTTPS普及で無効化された攻撃

かつてフリーWiFiで最も恐れられていたのは 中間者攻撃（MITM） だ。攻撃者がユーザーとルーターの間に割り込み、通信内容を盗み見る。HTTPの時代はパスワードもクレジットカード番号も平文で流れていたから、WiFiを盗聴するだけで何でも手に入った。

今はHTTPSが標準だ。ブラウザとサーバー間の通信はTLSで暗号化されているため、たとえ通信を傍受されても 中身は読めない 。

さらに HSTS（HTTP Strict Transport Security） の普及により、HTTPS→HTTPへのダウングレード攻撃（SSL Stripping）も大幅に効果が低下した。Google、Amazon、銀行サイトなど主要サービスはすべてHSTSを実装している。

だから「フリーWiFi=即危険」ではない

普通にウェブを閲覧するだけなら、フリーWiFiでも通信内容が盗まれるリスクは低い。「フリーWiFiに接続しただけでパスワードが抜かれる」というのは、HTTPが主流だった時代の話だ。

それでも残る2つの脅威

HTTPS普及で多くの攻撃が無効化されたが、今でも有効な攻撃が2つある 。

1. Evil Twin（悪魔の双子）攻撃

攻撃者が正規のWiFiと まったく同じ名前の偽WiFi を設置する手法だ。例えばカフェの「CafeWiFi_Free」と同名のアクセスポイントを立てる。あなたのデバイスは電波が強い方に自動接続してしまう。

偽WiFiに接続すると、攻撃者はあなたの すべてのDNSリクエスト をコントロールできる。つまり「どのサイトにアクセスしようとしているか」がすべて筒抜けになる。HTTPS暗号化で通信の中身は守られるが、どこにアクセスしているか は丸見えだ。

2. 偽Captive Portal（偽ログインページ）

フリーWiFiに接続すると「利用規約に同意してください」というログインページが表示されることがある。あれが Captive Portal だ。

Evil Twin攻撃と組み合わせると、この画面を偽装できる。「WiFiを利用するにはGoogleアカウントでログインしてください」という偽ページを表示し、メールアドレスとパスワードを入力させる。正規のWiFiでもCaptive Portalは存在するから、ユーザーは違和感なく入力してしまう。

実際に逮捕された事例

「理論上の危険」ではなく、実際に事件として立件されている。

オーストラリア空港 Evil Twin事件（2024年）

西オーストラリアの44歳の男が、Perth・Melbourne・Adelaide空港および国内線フライト機内で携帯型の無線デバイスを使い偽WiFiネットワークを設置した。接続した乗客を偽のログインページに誘導し、メールやSNSの認証情報を窃取。2025年11月に 懲役7年4ヶ月 の判決が下された。

空港や機内という「WiFiを使いたい場所」を狙った犯行だ。正規のWiFiと同名のSSIDを設定するだけで、多くの利用者が疑わずに接続した。

英国鉄道駅WiFiハック（2024年）

英国Network Railの19の主要駅（London Euston、Manchester Piccadilly等）のフリーWiFiが攻撃を受け、利用者が過去のテロ事件に言及した反イスラム的なメッセージを表示する悪意あるページにリダイレクトされた。WiFi管理会社の内部犯行だった。

この事件はフリーWiFiの運営側にもリスクがあることを示している。

VPNなしでできる5つの対策

VPNがなくてもリスクを大幅に減らせる。まずはこれらの設定を確認しよう。

1. WiFi自動接続をOFFにする

デバイスが過去に接続したWiFiに自動接続する機能を無効にする。Evil Twinは自動接続を悪用するため、これだけでリスクが大きく下がる。

• iOS: 設定 → WiFi → 接続先ネットワーク → 「自動接続」をOFF
• Android: 設定 → ネットワーク → WiFi → 保存済みネットワーク → 自動接続をOFF
• Windows 11: 設定 → ネットワーク → WiFi → 既知のネットワーク管理 → 各ネットワークの「自動的に接続」をOFF
• macOS: システム設定 → WiFi → 「既知のネットワークに自動的に接続」をOFF

2. HTTPS-Onlyモードを有効にする

ブラウザがHTTPS非対応のページを自動的にブロックする。偽Captive PortalがHTTPで動いている場合に警告が出る。

• Chrome: 設定 → プライバシーとセキュリティ → セキュリティ → 「常に安全な接続を使用する」をON
• Firefox: 設定 → プライバシーとセキュリティ → 「HTTPS-Only モード」→ 「すべてのウィンドウで有効」

3. DNS over HTTPS（DoH）を有効にする

DNSリクエストを暗号化することで、「どのサイトにアクセスしているか」の漏洩を防ぐ。

• Chrome: 設定 → プライバシーとセキュリティ → セキュリティ → 「セキュアDNSを使用する」→ Cloudflare（1.1.1.1）を選択
• Android 9+: 設定 → ネットワーク → プライベートDNS → 「プライベートDNSプロバイダのホスト名」に one.one.one.one を入力

4. 正式なSSID名を確認する

WiFiに接続する前に、店舗スタッフに正式なネットワーク名を確認する。「CafeWiFi」と「CafeWiFi_Free」が両方見えたら、どちらが本物か聞く。地味だが効果的だ。

5. 2要素認証（2FA）を有効にする

万が一パスワードが漏洩しても、2FAがあればアカウントは守られる。Google、GitHub、AWS——重要なサービスにはすべて設定しておく。パスワードマネージャーを使えばフィッシングサイトでは自動入力されないため、偽ログインページの検知にもなる。NordPassのようなパスワードマネージャーは、この用途でも有効だ。

VPNでしか防げないケース

上記の対策で多くのリスクは軽減できる。だが VPNでしか防げないケース がある。

Evil Twinに接続してしまった場合 。偽WiFiに接続した時点で、攻撃者はあなたのDNSリクエストをすべて見られる。DoHを有効にしていても、攻撃者が偽WiFiのDHCPでDNSを上書きする可能性がある。VPNに接続していれば、すべてのトラフィックがVPNトンネル経由になるため、偽WiFiの攻撃者は 暗号化されたデータの塊しか見えない 。

接続先のメタデータを隠したい場合 。HTTPSで通信内容は暗号化されていても、「どのサイトに接続したか」はISPやWiFi管理者から見える。VPNはこのメタデータも隠す。

業務で機密性が求められる場合 。リモートワークで社内システムにアクセスするとき、VPNなしの公共WiFiはリスクが高すぎる。会社のVPNがない場合でも、個人VPNで通信経路を暗号化するのは最低限の自衛だ。

つまり、VPNは 「最悪のケースでも安全」を担保する唯一の手段 だ。

NordVPNを選ぶ理由

VPNは数多くあるが、フリーWiFi対策として僕が NordVPN を推す理由は3つある。

1. 自動WiFi保護機能 。NordVPNの設定で「信頼されていないWiFiに接続したら自動的にVPNをONにする」を有効にできる。カフェのWiFiに接続した瞬間、手動操作なしでVPNが起動する。これがフリーWiFi対策では一番重要だ——毎回手動でONにするのは忘れるから。

2. Threat Protection Pro 。NordVPN Threat Protection Proは、悪意あるサイト・広告・トラッカーを自動でブロックする。偽Captive Portalがフィッシングサイトとして検知される可能性があり、多層防御になる。

3. NordLynx（WireGuardベース）の速度 。フリーWiFiは元から速度が遅い。従来型のVPNプロトコルだとさらに遅くなって使い物にならないが、NordLynxは速度低下が最小限だ。体感的にVPN接続を忘れるレベルで軽い。

まとめ

フリーWiFiは「絶対に使うな」という時代ではなくなった。HTTPS-Onlyモード、DoH、WiFi自動接続OFFの3つを設定するだけで、普段使いのリスクは大幅に下がる。

ただし Evil Twin攻撃 だけは、VPN以外で完全には防げない。フリーWiFiを頻繁に使うなら、NordVPNの自動WiFi保護を設定しておくのが最もシンプルで確実な対策だ。一度設定すれば、あとは何も考えなくていい。