2026年4月更新 | カテゴリー: VPN・セキュリティ
【2026年版】カフェのWi-Fiは本当に危険?
公共Wi-Fi使用時のリスクと今すぐできる対策
少し想像してください。
あなたは今日も、お気に入りのカフェにいます。コーヒーの香りが漂う中、ノートパソコンを開いて画面を立ち上げる。席に着いたらまず、スマホかパソコンでWi-Fiに接続します。「○○Cafe_Free_WiFi」——見慣れた名前が出てきたので、タップしてつなぐ。いつもの作業が始まります。
メールをチェックして、Slackに返信して、ちょっとした資料をクラウドに保存して。ついでにAmazonで頼み忘れていたものを注文して、LINEも返して——。特別なことは何もしていません。いつも通りの、普通の午後です。
でも、そのとき。
あなたが気づかないところで、あなたの画面に表示されている情報が、同じカフェにいる「誰か」にも見えている状態になっている可能性があるのです。
大げさに聞こえるかもしれません。でも、これは技術的に起きうる話であり、実際に被害を受けた人が存在します。しかも、その「誰か」はあなたを特別に狙っているわけではありません。そのWi-Fiに繋いでいる人すべてが、無差別に対象になっています。
「でも、自分は普通の人だし…。有名人でもなければ、お金持ちでもない。わざわざ狙われるわけないよね」——その気持ち、とてもよくわかります。でも、攻撃者にとって「普通の人」こそが狙い目です。警戒していないから。対策していないから。
とはいえ、この記事は「怖がらせること」が目的ではありません。むしろ逆です。
公共Wi-Fiのリスクを正しく理解して、今日からできる具体的な対策を3つ知ってしまえば、カフェでの作業は今よりずっと安全になります。難しい技術の話はしません。専門用語も極力使いません。「何が起きているのか」を一緒に確認して、「どうすれば安心できるか」を一緒に考えていきましょう。
この記事でわかること
- 公共Wi-Fiで「何が」起きているのか(絵はがきのたとえで理解)
- 「偽Wi-Fiスポット(Evil Twin攻撃)」とは何か
- 特に危険な場所ランキングと具体的な被害事例
- 今日からできる3つの対策(VPN・HTTPS・自動接続オフ)
- VPNの選び方とおすすめ2サービスの比較
公共Wi-Fiで「何が起きているか」を絵はがきで考える
難しい技術用語を使わずに説明するために、ひとつのたとえ話から始めます。
あなたが友人に手紙を送るとき、2つの方法があります。
- 封書(封をした手紙):中身が見えない。郵便局員も配達員も、封を開けない限り内容を読めない。
- 絵はがき:封がない。郵便局員も配達員も、配達の途中で中身を読もうと思えば読める。
暗号化されていない公共Wi-Fiでの通信は、まるで絵はがきを送るようなものです。途中で誰かが見ようと思えば見ることができる状態になっています。
一方、VPNや後述するHTTPS(鍵マークのついたサイト)での通信は「封書」です。途中で誰かが入手しても、暗号化されているため内容が読めません。
公共Wi-Fiの問題は、多くの人がこれを「封書」だと思いながら「絵はがき」を送り続けていることにあります。
公共Wi-Fiの3大リスク
リスク①:通信傍受(スニッフィング)
公共Wi-Fiは、多くの場合「誰でも同じ電波を共有する」構造になっています。同じカフェの中にいる人全員が、同じ電波空間を使っているのです。
「スニッフィング」と呼ばれる攻撃では、専用のソフトウェアを使ってその電波空間を流れるデータを「盗み見」します。このソフトは無料でダウンロードできるものも多く、特別な技術者でなくてもある程度の知識があれば使える状態になっています。
暗号化されていない通信なら、送受信しているテキストがほぼそのまま見えてしまいます。ユーザー名やパスワード、フォームに入力した個人情報、閲覧しているページの内容——これらが傍受対象になります。
リスク②:偽Wi-Fiスポット(Evil Twin攻撃)
これが特に巧妙なリスクです。
攻撃者が「Starbucks_WiFi」や「Hotel_Free_WiFi」といった名前の偽のWi-Fiアクセスポイントを作り、本物と同じ電波名で発信します。スマホが「以前繋いだことがある」と判断して自動接続したり、ユーザーが本物だと思って接続したりすると、すべての通信が攻撃者のデバイスを経由することになります。
これを「Evil Twin攻撃(邪悪な双子攻撃)」と呼びます。本物と見分けがつかないため、普通のユーザーには防ぎようがない攻撃です。
Evil Twin攻撃の怖いところ:攻撃者は専用機器があればカフェの外からでも偽のWi-Fiを飛ばせます。カフェの正規のWi-Fiより強い電波を出せば、スマホは自動的に強い電波(偽物)に接続してしまいます。
リスク③:中間者攻撃(Man-in-the-Middle攻撃)
Evil Twin攻撃の発展形です。あなたと接続先のサービス(Gmailなど)の間に攻撃者が入り込み、通信を中継しながら内容を盗み見たり改ざんしたりします。
怖いのは、あなたは「普通にGmailを使えている」と感じている点です。通信は攻撃者を経由しながらも目的地に届いているので、表面上は何も変わりません。しかし、入力したパスワードや、受信したメールの内容が、すべて攻撃者にも届いているのです。
実際に起きた被害事例(フィクション含む・リアルなケース)
事例①:ホテルのWi-FiでAmazonアカウントを乗っ取られたケース
出張先のビジネスホテルでWi-Fiに繋ぎ、Amazonで日用品を注文しようとしたBさん(34歳・会社員)。そのホテルのWi-Fiは暗号化が不十分でした。ログイン時に入力したIDとパスワードが傍受され、その夜のうちにAmazonアカウントに不正ログイン。登録クレジットカードで数万円の買い物をされてしまいました。気づいたのは翌日、カード会社からの不正利用通知がきてから。Amazonには返金を申請しましたが、手続きに3週間かかりました。
事例②:偽Wi-Fiに繋いでSNSアカウントを乗っ取られたケース
空港の待合室で「Airport_FreeWiFi」というWi-Fiに自動接続したCさん(28歳・フリーランス)。それは攻撃者が設置した偽のアクセスポイントでした。Instagramにログインした際の情報が傍受され、帰国後にアカウントを乗っ取られていたことが判明。フォロワー数千人のアカウントが乗っ取られ、詐欺的な広告投稿に使われてしまいました。Instagramへの申告手続きで復旧まで2週間かかりました。
特に危険な場所ランキング
リスクが高い公共Wi-Fi設置場所(編集部調査)
- ホテル(特にビジネスホテル・民泊)——利用者が多く入れ替わりが激しい。セキュリティ設定が古いことが多い
- 空港・新幹線駅——Evil Twin攻撃が最も多く報告される場所。利用者が多く、攻撃者の「コスパ」が高い
- カフェ(チェーン系)——長時間滞在者が多い。同じ空間に攻撃者が長時間いても不自然でない
- コンビニ・ファストフード店——認証なしで繋がるケースが多く、セキュリティレベルが低い傾向
- 図書館・公共施設——管理者のITリテラシーが低い場合、設定が古いまま放置されていることがある
「でも大手チェーンカフェなら安全では?」と思う方もいるかもしれません。スターバックスやドトールなどは比較的セキュリティ意識が高いですが、それでも「外部の攻撃者が偽Wi-Fiを設置する」ことまでは店舗側では防げません。重要なのは、どの場所のWi-Fiであれ、公共Wi-Fiに繋ぐ際は自分でリスクに対応することです。
今すぐできる対策3選
対策①:VPNを使う(最も効果的)
VPNは「仮想プライベートネットワーク」の略で、あなたの通信を暗号化したトンネルの中に通す技術です。先ほどの「絵はがきと封書」のたとえで言えば、VPNを使うとすべての通信が「鍵のかかった封書」になります。
たとえEvil Twin攻撃で偽Wi-Fiに繋いでしまっても、VPNが有効な状態であれば攻撃者に見えるのは「暗号化された意味のないデータ」だけです。実際の通信内容は読み取れません。
公共Wi-Fiを使う場合の対策として、VPNは最も効果的な手段です。
対策②:「https://」(鍵マーク)のサイトのみ使う
ブラウザのアドレスバーを見てください。URLの先頭に「https://」と書いてあり、鍵のマークが表示されているサイトは、通信が暗号化されています。
「http://」(sがない)のサイトは暗号化されていないため、公共Wi-Fiでは特に危険です。最近は主要なサービスのほとんどがhttpsに対応していますが、古いサイトや一部のサービスではまだhttp接続になることがあります。
公共Wi-Fiでは、必ずアドレスバーの「鍵マーク」を確認する習慣をつけましょう。
対策③:Wi-Fiの自動接続をオフにする
スマホは「以前繋いだことがあるWi-Fi」に自動で繋ごうとします。Evil Twin攻撃はこの自動接続の仕組みを悪用します。
設定方法(iOS):設定 → Wi-Fi → 各ネットワーク名をタップ → 「自動接続」をオフ
設定方法(Android):設定 → Wi-Fi → 保存済みネットワーク → 各ネットワーク名をタップ → 「自動接続」をオフ
特に「Starbucks」「Free_WiFi」のような一般的な名前のネットワークは、同名の偽Wi-Fiが存在しやすいため、自動接続をオフにしておくことをお勧めします。
編集部おすすめVPN2選——公共Wi-Fiのお供に
対策①で紹介したVPNの中から、公共Wi-Fiでの使用に特に適した2つのサービスを紹介します。
NordVPN——公共Wi-Fiでの使用に最も定評あり
NordVPNは世界で最も多くのユーザーに使われているVPNのひとつで、公共Wi-Fiでの安全性確保に特化した機能も充実しています。「脅威保護(Threat Protection)」と呼ばれる機能で、悪意のあるサイトや広告を自動的にブロックします。
また、「自動接続」機能を設定しておくと、Wi-Fiに繋いだ瞬間に自動的にVPNが有効になります。「VPNを起動し忘れた」という事態を防げるため、公共Wi-Fiを頻繁に使う人には特に重宝します。
メリット
- 公共Wi-Fi自動接続機能あり
- 脅威保護(悪意サイト・広告ブロック)
- 111カ国・6,300以上のサーバー
- 第三者監査でノーログ証明済み
- 1アカウント10台まで同時利用可
- 30日間返金保証
- 24時間日本語サポート
デメリット
- 月払いプランは割高(2年プランが最もお得)
- 設定画面が多機能で最初はやや複雑
- 日本のサーバーは少なめ(速度に影響する場合あり)
編集部の押しポイント:「Wi-Fiに繋いだら自動的にVPNが起動する」設定にしておけば、カフェでパソコンを開いた瞬間から守られた状態になります。「VPN起動を忘れた」という最も多いミスを構造的に防げるのがNordVPNの強みです。初心者の方には特にこの自動接続機能の設定をおすすめします。
Amazon で NordVPN をチェック NordVPN 公式サイト
| 項目 | 詳細 |
|---|---|
| 月額料金(2年プラン) | 約230円〜(キャンペーン時) |
| サーバー数 | 6,300以上(111カ国) |
| 同時接続台数 | 10台 |
| ノーログ監査 | あり(第三者機関による複数回の監査) |
| 返金保証 | 30日間 |
| 公共Wi-Fi自動接続機能 | あり |
Surfshark——コストを抑えたい人に最適
Surfsharkは2年プランなら月170円台から使える、コスパ重視の人に人気のVPNです。接続台数が無制限なので、スマホとパソコン両方を公共Wi-Fiで使う場面でも1契約でカバーできます。
「CleanWeb」と呼ばれる機能で広告・マルウェアをブロックしてくれるため、安全性も十分です。Deloitteによる監査でノーログポリシーが証明されています。
メリット
- 同時接続台数が無制限
- 2年プランなら月170円〜と安い
- ノーログ監査済み(Deloitte)
- 広告・マルウェアブロック機能あり
- 30日間返金保証
デメリット
- 日本語サポートがない(英語チャットのみ)
- NordVPNより設立年数が短い
- 一部サーバーで速度ムラがある報告あり
編集部の押しポイント:「家族全員のスマホ・パソコンをまとめて守りたい」「とにかくコストを抑えたい」という場合はSurfsharkが最適です。月200円以下で複数台のデバイスを公共Wi-Fiのリスクから守れます。家でテレワーク、外でカフェ作業という働き方をしている方には特にコスパが光ります。
公共Wi-Fi対策まとめ比較表
| 対策 | 効果 | コスト | 難易度 |
|---|---|---|---|
| VPN(NordVPN) | 非常に高い | 月230円〜 | 簡単(アプリ起動するだけ) |
| VPN(Surfshark) | 非常に高い | 月170円〜 | 簡単(アプリ起動するだけ) |
| httpsのみ使用 | 中程度 | 無料 | 簡単(習慣化が必要) |
| 自動接続オフ | 中程度(Evil Twin対策) | 無料 | 簡単(設定のみ) |
| 何もしない | なし | 無料 | —— |
よくある疑問——正直に答えます
Q. スマホのデータ通信(4G/5G)は安全?
はい。モバイルデータ通信(キャリアの電波を使う通信)は、公共Wi-Fiとは異なり、通信が暗号化されており傍受がはるかに難しい構造になっています。可能であれば公共Wi-Fiではなくモバイルデータを使うことがひとつの安全策です。ただし、データ使用量の上限には注意が必要です。
Q. VPNを使うと通信速度は遅くなる?
VPNを使うと通信がVPNサーバーを経由するため、理論上はわずかに遅くなります。ただし、NordVPNやSurfsharkのような品質の高いVPNでは、日常的な使用では速度の低下をほとんど感じません。動画視聴・Web閲覧・ビデオ会議のいずれも問題なく使えるレベルです。
Q. HTTPS対応のサイトなら公共Wi-Fiでも完全に安全?
HTTPSにより通信内容の傍受は防げますが、「どのサイトにアクセスしているか(ドメイン名)」は見えることがあります。また、Evil Twin攻撃などではHTTPS通信を中間で傍受しようとする手法も存在します。HTTPSは重要な対策ですが、VPNと組み合わせることでより確実な保護になります。
Q. VPNは違法じゃないの?
日本ではVPNの使用は完全に合法です。企業の多くもテレワーク時にVPNを業務利用しています。ただし、VPNを使って行った違法行為(著作権侵害など)は当然違法です。
まとめ——カフェでの作業を怖がるのではなく、安全に楽しむために
この記事を読む前、あなたは「公共Wi-Fiって危ないらしいけど、自分は普通の人だし大丈夫かな」と思いながらカフェでWi-Fiに繋いでいたかもしれません。
でも今は違います。
公共Wi-Fiのリスクは実在します。通信傍受、偽Wi-Fiスポット(Evil Twin攻撃)、中間者攻撃——これらは特別な人が標的にされるものではなく、そのWi-Fiに繋いでいる全員が無差別に対象になります。ホテルでAmazonアカウントを乗っ取られた事例、空港の偽Wi-Fiでインスタが乗っ取られた事例——どれも「普通の人」に起きたことです。
しかし、正しい知識と道具があれば、カフェでの作業を怖がる必要はまったくありません。VPNをスマホに入れてWi-Fiに繋ぐ前に起動する。アドレスバーの鍵マークを確認する。Wi-Fiの自動接続をオフにしておく——この3つだけです。
NordVPNは月230円台から、Surfsharkは月170円台から使えます。どちらも30日間の返金保証があるので、まず試してみてください。カフェのコーヒー1杯以下の金額で、本物のセキュリティが手に入ります。
安全な環境で、カフェ作業を思いきり楽しんでください。
Amazon で NordVPN をチェック(30日返金保証) Surfshark 公式サイトを見る