海外のフリーWiFi、本当に安全？実際に起きた被害事例と今すぐできる対策

「ホテルのWiFi、パスワードかかってるし大丈夫でしょ」。筆者も以前はそう思っていました。

考えが変わったのは、バンコク出張中の出来事です。セキュリティの勉強を兼ねて、自分のノートPCでホテルWiFiのトラフィックをパケットキャプチャしてみたことがあります。Wiresharkを起動してほんの5分間モニタリングしただけで、同じネットワーク上の他の宿泊客がどのサイトにアクセスしているか、DNSリクエストのログとしてずらりと並んでいました。HTTPSで暗号化されていても、「どこに接続しているか」は丸見えだったのです。

この体験以降、筆者はフリーWiFiに接続するときは必ずVPNを使うようになりました。この記事では、海外のフリーWiFiで実際に何が起きるのか、どんな攻撃手法が使われるのか、そしてどうすれば身を守れるのかを、できるだけ具体的にまとめます。

フリーWiFiで何が起きるのか：主な攻撃手法

フリーWiFiを悪用した攻撃にはいくつかのパターンがあります。「自分は大丈夫」と思っている方こそ、一度目を通してみてください。

1. 通信の傍受（パケットスニッフィング）

同じWiFiネットワークに接続しているだけで、他の利用者の通信を覗き見できるツールが存在します。Wireshark、tcpdump、dsniffといったツールは本来ネットワーク管理者向けですが、悪意のある人間が使えば盗聴ツールに早変わりします。

現在はHTTPS（SSL/TLS）が普及しているため、通信の「中身」が丸見えになるケースは減りました。しかし、以下の情報は暗号化されていても漏れます。

どのドメイン（サイト）にアクセスしたか（DNSクエリ）
接続先のIPアドレス
通信のタイミングと量
HTTPSに対応していないサイトでの入力内容すべて

「銀行のサイトはHTTPSだから安全」と思うかもしれません。確かに通信内容自体は暗号化されています。ただ、あなたが三菱UFJ銀行のサイトにアクセスしたという事実は、同じネットワーク上の誰にでも分かります。

2. 偽のアクセスポイント（Evil Twin攻撃）

これが最も被害に遭いやすいパターンです。攻撃者が本物そっくりのWiFiネットワークを立てて、利用者を誘い込みます。

たとえば空港で「Airport_Free_WiFi」というSSIDを見たとき、それが空港の公式WiFiかどうか、どうやって確認しますか？実は、同じSSID名のアクセスポイントは誰でも作れます。ノートPC1台とモバイルルーターがあれば、10分で偽のアクセスポイントを構築できてしまいます。

2024年にオーストラリアで、国内線のフライト中に機内WiFiを装った偽アクセスポイントを設置し、乗客のメールやSNSの認証情報を盗んでいた男が逮捕されました。この事件では被害者が偽のWiFiログインページに誘導され、GoogleやFacebookのログイン情報を入力してしまったと報じられています。

空港、カフェ、ホテルのロビー。フリーWiFiが当たり前に飛んでいる場所ほど、偽のアクセスポイントは紛れ込みやすくなります。

3. 中間者攻撃（Man-in-the-Middle）

攻撃者がユーザーとアクセスポイントの「間」に入り込み、通信を中継しながら内容を読み取る手法です。ユーザーからはインターネットに正常に接続できているように見えるため、攻撃を受けていることに気づきません。

この攻撃が成功すると、以下のようなことが可能になります。

HTTPS通信の証明書をすり替えて通信を復号する（SSLストリッピング）
ログインページを偽物に差し替える
ダウンロードするファイルにマルウェアを注入する

ブラウザの「鍵マーク」を確認すれば偽の証明書を見抜けると言われますが、実際に毎回チェックしている人がどれだけいるでしょうか。

4. セッションハイジャック

ログイン済みのセッション情報（Cookie）を盗み、そのままアカウントに不正アクセスする手法です。パスワードを知らなくても、セッションCookieさえ手に入ればログイン状態を乗っ取れます。

2010年にリリースされた「Firesheep」というFirefoxの拡張機能は、同じWiFi上にいる他のユーザーのFacebook・Twitterセッションをワンクリックで乗っ取れるツールでした。当時大きな話題になり、FacebookやTwitterがHTTPS対応を急いだきっかけにもなっています。

現在はHTTPSの普及により当時ほどの容易さはありませんが、HTTPSに対応していないサイトではいまだに有効な攻撃手法です。また、中間者攻撃と組み合わせれば、HTTPS通信であってもセッション情報を奪取できる可能性があります。

場所別のリスク：ホテル・カフェ・空港で何が違うか

フリーWiFiのリスクは、利用する場所によって微妙に異なります。

場所	パスワード	リスクの特徴	危険度
空港	なし（オープン）	利用者が多く攻撃者も紛れやすい。偽APの設置が容易	高
カフェ	あり（共通パスワード）	パスワードが壁に貼ってあるので実質オープンと同じ	高
ホテル（ロビー）	なし〜共通パスワード	不特定多数が利用。空港と同様のリスク	高
ホテル（客室）	部屋番号+名前など	宿泊客に限定されるが、同一ネットワーク上のリスクは残る	中
コワーキングスペース	会員限定	利用者が絞られるぶん安全だが、ゼロではない	中

よくある誤解として「パスワード付きのWiFiなら安全」というものがあります。これは正しくありません。WPA2/WPA3のパスワードはネットワークへの接続を制限するだけであり、接続済みのユーザー同士の通信を保護するものではないのです。

ホテルの客室WiFiが「部屋ごとに違うパスワード」だったとしても、内部的に同じネットワークセグメントに属していれば、他の宿泊客からの通信傍受は技術的に可能です。実際、筆者が宿泊したバンコクのホテルでは、部屋ごとに異なるパスワードが発行されていたものの、ARPテーブルを確認すると他の部屋のデバイスが見えていました。

何が盗まれるのか：具体的なリスク

フリーWiFi上で攻撃を受けた場合、以下の情報が危険にさらされます。

即座に実害が出るもの

ネットバンキングのログイン情報 → 不正送金
クレジットカード情報 → 不正利用
メールアカウントの認証情報 → アカウント乗っ取り、他サービスへの連鎖被害
SNSのセッション情報 → なりすまし投稿、友人への詐欺メッセージ送信

じわじわ効いてくるもの

閲覧履歴（どのサイトにアクセスしたか）→ ターゲティング詐欺に利用
個人の行動パターン → どこに何時にいるかが分かる
仕事のメール内容 → 企業秘密の漏洩、取引先への標的型攻撃の材料

特に怖いのは、被害に遭ったことにすぐ気づけないケースです。セッションハイジャックで一瞬だけアカウントに不正アクセスされ、メールの転送設定だけ変更された場合、気づくまでに数週間かかることもあります。その間、すべてのメールが攻撃者にも転送され続けるわけです。

対策1：VPNを使う（最も確実な方法）

フリーWiFiのリスクに対する最も効果的な対策はVPNです。VPN（Virtual Private Network）は、あなたのデバイスとVPNサーバーの間に暗号化されたトンネルを作ります。

VPNを使うと何が変わるのか、整理します。

脅威	VPNなし	VPNあり
通信内容の傍受	HTTPは丸見え、HTTPSも接続先は分かる	すべての通信が暗号化。接続先も分からない
偽APへの接続	通信内容を盗まれる	暗号化されているため、偽APに接続しても中身は読めない
中間者攻撃	証明書のすり替えで通信を復号される恐れ	VPNトンネル内の通信は別途暗号化されているため無効化
セッションハイジャック	Cookieを盗まれるリスク	通信が暗号化されCookieの傍受が不可能
DNS漏洩	どのサイトにアクセスしたか丸見え	DNSクエリもVPNトンネル経由で暗号化

要するに、VPNを使えばフリーWiFi上での攻撃はほぼすべて無効化できます。攻撃者から見ると、VPNを使っている人の通信は「何かしらの暗号化されたデータがVPNサーバーに流れている」としか分からず、中身は一切読めません。

海外旅行でどのVPNを選べばいいか迷っている方は、筆者が実際に複数のサービスを使い比べたVPN比較記事を参考にしてください。速度・安定性・価格を実測データで比較しています。

VPN選びで注意すべきポイント

VPNならなんでも良いわけではありません。以下の点は確認してください。

ノーログポリシーが明示されていること（第三者機関による監査済みが理想）
キルスイッチ機能があること（VPN接続が切れた瞬間に通信を遮断する機能）
DNS漏洩防止機能があること
接続したい国にサーバーがあること（日本のサービスを使いたいなら日本サーバー必須）
無料VPNは避けること（データ収集で収益を得ているケースが大半）

無料VPNの危険性については改めて強調しておきます。2023年にTopVPNの調査で、Google Play上の無料VPNアプリの多くがユーザーデータを中国のサーバーに送信していたことが判明しています。セキュリティのためにVPNを入れたのに、そのVPNアプリがスパイウェアだった、というのは冗談のような話ですが、実際に起きていることです。

月額数百円で済むサービスがほとんどなので、ここはケチらないほうが賢明です。VPN比較記事で紹介しているサービスはすべて30日間の返金保証が付いているので、旅行の期間だけ試してみるという使い方もできます。

対策2：eSIMで自前の回線を確保する

VPNと並んでおすすめしたいのが、eSIMによるモバイルデータ通信の確保です。

eSIMを使えば、現地の携帯回線をそのまま利用できます。自分専用の回線なので、フリーWiFiのように他人と回線を共有することがありません。つまり、パケットスニッフィングや中間者攻撃のリスクがそもそも発生しないのです。

筆者の海外旅行スタイルは、こうです。

基本の通信はeSIMのモバイルデータで賄う
ホテルや空港のWiFiを使うときはVPNを必ずオンにする
大容量のファイルダウンロードやアップデートなど、データ量が多い作業はホテルWiFi+VPNで行う

eSIMとVPNは「どちらか一方」ではなく「両方あると最強」という関係です。eSIMで安全な基本回線を持ちつつ、WiFiを使わざるを得ない場面ではVPNで保護する。この二段構えが、現時点で最も合理的な海外の通信セキュリティ対策だと考えています。

海外旅行向けのeSIMについてはeSIM比較記事でサービスごとの料金・対応エリア・速度を比較しているので、あわせて参考にしてください。

対策3：その他の習慣でリスクを減らす

VPNとeSIM以外にも、日頃の習慣でリスクを下げることはできます。

自動接続をオフにする

スマホやPCの「既知のネットワークに自動接続」機能はオフにしておきましょう。過去に接続したSSIDと同じ名前の偽APが近くにあると、自動的に接続してしまう可能性があります。iOSなら「設定」→「Wi-Fi」→ 各ネットワークの「自動接続」をオフにできます。Androidも同様の設定があります。

二段階認証を有効にする

仮にパスワードが漏れたとしても、二段階認証（2FA）が有効であれば、それだけではログインされません。Google Authenticator、Microsoft Authenticator、Authyなどのアプリを使った認証がおすすめです。SMS認証よりもアプリ認証のほうが安全性は高いです。

HTTPS接続を確認する

ブラウザのアドレスバーに鍵マークが表示されていること、URLが「https://」で始まっていることを確認してください。特にログインページや決済ページでは必ず確認する癖をつけましょう。Chrome拡張機能の「HTTPS Everywhere」（現在はブラウザ標準機能に統合されつつあります）を使うと、HTTPS対応サイトへのアクセスを自動的にHTTPSに切り替えてくれます。

フリーWiFiでは重要な操作をしない

VPNなしでフリーWiFiに接続しているときは、以下の操作は避けてください。

ネットバンキングへのログイン
クレジットカード情報の入力
仕事のメール送受信
クラウドストレージへの機密ファイルのアップロード
パスワードの変更

地図を見る、観光情報を調べる、SNSの閲覧（投稿ではなく閲覧だけ）程度であれば、大きなリスクにはなりません。

まとめ：「知っている」だけで守れるものがある

フリーWiFiの危険性は、セキュリティの専門家にとっては常識です。でも、一般の旅行者でこれを意識している人はまだ少ないのが現実です。

この記事で伝えたかったことをまとめます。

フリーWiFiでは、同じネットワーク上の誰かに通信を覗かれるリスクが常にある
パスワード付きのWiFiでも、接続済みユーザー同士の通信は保護されない
偽のアクセスポイントは誰でも簡単に作れる。見た目では本物と区別できない
VPNを使えば、これらのリスクはほぼすべて無効化できる
eSIMで自前の回線を持てば、そもそもフリーWiFiに頼る場面を減らせる
VPN + eSIMの二段構えが、現時点での最適解

「自分は大丈夫」と思っている人ほど狙われやすいのがセキュリティの世界です。海外旅行の準備にパスポートやクレジットカードを確認するのと同じ感覚で、VPNの準備もチェックリストに入れておいてください。

海外旅行で使えるVPNサービスの料金・速度・使いやすさを比較しています。詳しくはVPN主要5社の比較記事をご覧ください。

VPN選びに迷ったら → 海外旅行向けVPN比較はこちら eSIM選びに迷ったら → 海外旅行向けeSIM比較はこちら

よくある質問

海外のホテルのWiFiは安全？

残念ながら安全とは言い切れません。ホテルのWiFiは宿泊客全員で共有しているため、同じネットワーク上の他の利用者から通信を覗かれるリスクがあります。VPNを使えばこのリスクはほぼゼロにできます。

フリーWiFiでやってはいけないことは？

ネットバンキング、クレジットカード情報の入力、パスワードの入力は避けてください。どうしても必要な場合はVPNを接続してから行ってください。

VPNを使えばフリーWiFiは安全になる？

はい。VPNは通信を暗号化するため、同じWiFiネットワーク上の第三者に通信内容を傍受されるリスクをほぼゼロにできます。海外旅行ではVPNの利用を強くおすすめします。

無料のVPNでも大丈夫？

おすすめしません。無料VPNの多くはユーザーデータを収集・販売して収益を得ています。セキュリティ目的でVPNを使うのに、VPN事業者にデータを取られては本末転倒です。

スマホのモバイルデータ通信（eSIM）なら安全？

はい、自分専用の回線なのでフリーWiFiよりはるかに安全です。海外旅行ではeSIMで自前の回線を確保し、フリーWiFiを使うときだけVPNを併用するのが理想的です。