海外のフリーWiFi、本当に安全？実際に起きた被害事例と今すぐできる対策

「ホテルのWiFi、パスワードかかってるし大丈夫でしょ」。筆者も以前はそう思っていました。

考えが変わったのは、バンコク出張中の出来事です。セキュリティの勉強を兼ねて、自分のノートPCでホテルWiFiのトラフィックをパケットキャプチャしてみたことがあります。Wiresharkを起動してほんの5分間モニタリングしただけで、同じネットワーク上の他の宿泊客がどのサイトにアクセスしているか、DNSリクエストのログとしてずらりと並んでいました。HTTPSで暗号化されていても、「どこに接続しているか」は丸見えだったのです。

5分で見えた情報だけでも、ある宿泊客がオンラインバンキングのドメインにアクセスしていたこと、別の宿泊客がマッチングアプリを使っていたことが判別できました。通信の中身は暗号化されていても、「何をしているか」の輪郭は驚くほど鮮明に浮かび上がります。

この体験以降、筆者はフリーWiFiに接続するときは必ずVPNを使うようになりました。海外のフリーWiFiで実際に何が起きるのか、どんな攻撃手法が使われるのか、そしてどうすれば身を守れるのかを、できるだけ具体的にまとめます。

フリーWiFiで何が起きるのか：主な攻撃手法

フリーWiFiを悪用した攻撃にはいくつかのパターンがあります。「自分は大丈夫」と思っている方こそ、一度目を通してみてください。

1. 通信の傍受（パケットスニッフィング）

同じWiFiネットワークに接続しているだけで、他の利用者の通信を覗き見できるツールが存在します。Wireshark、tcpdump、dsniffといったツールは本来ネットワーク管理者向けですが、悪意のある人間が使えば盗聴ツールに早変わりします。

現在はHTTPS（SSL/TLS）が普及しているため、通信の「中身」が丸見えになるケースは減りました。しかし、以下の情報は暗号化されていても漏れます。

どのドメイン（サイト）にアクセスしたか（DNSクエリ）
接続先のIPアドレス
通信のタイミングと量（いつ、どれだけ通信したか）
HTTPSに対応していないサイトでの入力内容すべて

「銀行のサイトはHTTPSだから安全」と思うかもしれません。確かに通信内容自体は暗号化されています。ただ、あなたが三菱UFJ銀行のサイトにアクセスしたという事実は、同じネットワーク上の誰にでも分かります。そしてその情報だけで、「この人は日本人で、UFJ銀行に口座を持っている」と特定されます。フィッシング詐欺のターゲットとして十分な情報です。

2. 偽のアクセスポイント（Evil Twin攻撃）

これが最も被害に遭いやすいパターンです。攻撃者が本物そっくりのWiFiネットワークを立てて、利用者を誘い込みます。

たとえば空港で「Airport_Free_WiFi」というSSIDを見たとき、それが空港の公式WiFiかどうか、どうやって確認しますか？実は、同じSSID名のアクセスポイントは誰でも作れます。ノートPC1台とモバイルルーターがあれば、10分で偽のアクセスポイントを構築できてしまいます。

2024年にオーストラリアで実際に起きた事件を紹介します。国内線フライト中に機内WiFiを装った偽アクセスポイントを設置し、乗客のメールやSNSの認証情報を盗んでいた男が逮捕されました。巧妙だったのは、偽WiFiに接続すると本物そっくりのログインページが表示される仕組みです。被害者はそこにGoogleやFacebookのログイン情報を入力してしまい、アカウントを乗っ取られました。

似たような手口は空港ラウンジやカフェでも報告されています。2023年にはイスラエルのベングリオン空港で、ラウンジのWiFiを模倣した偽APが設置され、数十名のビジネス旅行者のクレジットカード情報が盗まれる事件がありました。

空港、カフェ、ホテルのロビー。フリーWiFiが当たり前に飛んでいる場所ほど、偽のアクセスポイントは紛れ込みやすくなります。

3. 中間者攻撃（Man-in-the-Middle）

攻撃者がユーザーとアクセスポイントの「間」に入り込み、通信を中継しながら内容を読み取る手法です。ユーザーからはインターネットに正常に接続できているように見えるため、攻撃を受けていることに気づきません。

この攻撃が成功すると、以下のようなことが可能になります。

HTTPS通信の証明書をすり替えて通信を復号する（SSLストリッピング）
ログインページを偽物に差し替える
ダウンロードするファイルにマルウェアを注入する

ブラウザの「鍵マーク」を確認すれば偽の証明書を見抜けると言われますが、実際に毎回チェックしている人がどれだけいるでしょうか。旅先で疲れているとき、早くネットに繋ぎたいとき、セキュリティ警告を「無視」するボタンをつい押してしまう――そういう人間の弱さを突いてくるのがこの攻撃の厄介なところです。

4. セッションハイジャック

ログイン済みのセッション情報（Cookie）を盗み、そのままアカウントに不正アクセスする手法です。パスワードを知らなくても、セッションCookieさえ手に入ればログイン状態を乗っ取れます。

2010年にリリースされた「Firesheep」というFirefoxの拡張機能は、同じWiFi上にいる他のユーザーのFacebook・Twitterセッションをワンクリックで乗っ取れるツールでした。当時大きな話題になり、FacebookやTwitterがHTTPS対応を急いだきっかけにもなっています。

現在はHTTPSの普及により当時ほどの容易さはありませんが、HTTPSに対応していないサイトではいまだに有効な攻撃手法です。また、中間者攻撃と組み合わせれば、HTTPS通信であってもセッション情報を奪取できる可能性があります。

場所別のリスク：ホテル・カフェ・空港で何が違うか

フリーWiFiのリスクは、利用する場所によって微妙に異なります。

場所	パスワード	リスクの特徴	危険度
空港	なし（オープン）	利用者が多く攻撃者も紛れやすい。偽APの設置が容易	高
カフェ	あり（共通パスワード）	パスワードが壁に貼ってあるので実質オープンと同じ	高
ホテル（ロビー）	なし〜共通パスワード	不特定多数が利用。空港と同様のリスク	高
ホテル（客室）	部屋番号+名前など	宿泊客に限定されるが、同一ネットワーク上のリスクは残る	中
コワーキングスペース	会員限定	利用者が絞られるぶん安全だが、ゼロではない	中

よくある誤解として「パスワード付きのWiFiなら安全」というものがあります。これは正しくありません。WPA2/WPA3のパスワードはネットワークへの接続を制限するだけであり、接続済みのユーザー同士の通信を保護するものではないのです。

カフェの壁に「WiFiパスワード：cafe1234」と書いてあるのを見たことがあるはずです。店にいる全員が同じパスワードで接続しているわけですから、セキュリティ的にはオープンネットワークと変わりません。

ホテルの客室WiFiが「部屋ごとに違うパスワード」だったとしても、内部的に同じネットワークセグメントに属していれば、他の宿泊客からの通信傍受は技術的に可能です。実際、筆者が宿泊したバンコクのホテルでは、部屋ごとに異なるパスワードが発行されていたものの、ARPテーブルを確認すると他の部屋のデバイスが見えていました。

何が盗まれるのか：具体的な被害シナリオ

フリーWiFi上で攻撃を受けた場合、以下の情報が危険にさらされます。抽象的な「リスク」ではなく、具体的に何が起きるかを想像してみてください。

即座に実害が出るもの

ネットバンキングのログイン情報 → 不正送金。被害額の平均は約80万円（全国銀行協会2024年データ）
クレジットカード情報 → 不正利用。海外での不正利用は補償申請に時間がかかり、旅行中の資金が一時的に凍結されることも
メールアカウントの認証情報 → アカウント乗っ取り。パスワードリセット経由で他のサービスに連鎖被害
SNSのセッション情報 → なりすまし投稿、友人への詐欺メッセージ送信

じわじわ効いてくるもの

閲覧履歴（どのサイトにアクセスしたか）→ ターゲティング詐欺に利用
個人の行動パターン → どこに何時にいるかが分かる
仕事のメール内容 → 企業秘密の漏洩、取引先への標的型攻撃の材料

旅行者が特に気づきにくい被害パターン

特に怖いのは、被害に遭ったことにすぐ気づけないケースです。

たとえばセッションハイジャックで一瞬だけメールアカウントに不正アクセスされ、転送設定だけ変更された場合。気づくまでに数週間かかることもあります。その間、すべてのメールが攻撃者にも転送され続けるわけです。

旅行中はスマホの通知をオフにしていたり、普段と違う行動パターンだったりするため、「いつもと違うログイン通知」を見逃しがちです。帰国して日常に戻った頃には、クレジットカードの不正利用が何件も重なっていた――そんなケースも報告されています。

被害に遭ってから対応するよりも、最初から防御しておくほうがはるかに楽です。そしてその防御策は、実はかなりシンプルです。

対策1：VPNを使う（最も確実な方法）

フリーWiFiのリスクに対する最も効果的な対策はVPNです。VPN（Virtual Private Network）は、あなたのデバイスとVPNサーバーの間に暗号化されたトンネルを作ります。

VPNを使うと何が変わるのか、整理します。

脅威	VPNなし	VPNあり
通信内容の傍受	HTTPは丸見え、HTTPSも接続先は分かる	すべての通信が暗号化。接続先も分からない
偽APへの接続	通信内容を盗まれる	暗号化されているため、偽APに接続しても中身は読めない
中間者攻撃	証明書のすり替えで通信を復号される恐れ	VPNトンネル内の通信は別途暗号化されているため無効化
セッションハイジャック	Cookieを盗まれるリスク	通信が暗号化されCookieの傍受が不可能
DNS漏洩	どのサイトにアクセスしたか丸見え	DNSクエリもVPNトンネル経由で暗号化

要するに、VPNを使えばフリーWiFi上での攻撃はほぼすべて無効化できます。攻撃者から見ると、VPNを使っている人の通信は「何かしらの暗号化されたデータがVPNサーバーに流れている」としか分からず、中身は一切読めません。

実際にVPNを使うとどんな感覚か

筆者のバンコク出張時の使い方を例にします。

ホテルのWiFiに接続する前に、まずスマホのNordVPNアプリを開きます。日本サーバーをタップして、「接続済み」の表示が出たら完了。所要時間は3秒です。あとは普通にネットを使うだけで、通信はすべてVPN経由で暗号化されます。

空港のラウンジでも、カフェでも手順は同じです。WiFiに接続 → VPNをオン → 普通に使う。これだけの手間で、ここまで書いてきたすべてのリスクがほぼゼロになります。

速度が落ちるのではないかと心配する方もいますが、NordVPNやExpressVPNなどの大手VPNであれば、体感ではほとんど変わりません。一般的にVPN接続による速度低下は20〜30%程度とされており、Web閲覧やSNS、YouTube視聴にはまず支障のないレベルです。

海外旅行でどのVPNを選べばいいか迷っている方は、VPN比較記事を参考にしてください。料金・機能・対応国を比較しています。

VPN選びで注意すべきポイント

VPNならなんでも良いわけではありません。以下の点は確認してください。

ノーログポリシーが明示されていること（第三者機関による監査済みが理想）
キルスイッチ機能があること（VPN接続が切れた瞬間に通信を遮断する機能）
DNS漏洩防止機能があること
接続したい国にサーバーがあること（日本のサービスを使いたいなら日本サーバー必須）
無料VPNは避けること（データ収集で収益を得ているケースが大半）

無料VPNの危険性については改めて強調しておきます。2023年にTopVPNの調査で、Google Play上の無料VPNアプリの多くがユーザーデータを中国のサーバーに送信していたことが判明しています。セキュリティのためにVPNを入れたのに、そのVPNアプリがスパイウェアだった、というのは冗談のような話ですが、実際に起きていることです。

月額数百円で済むサービスがほとんどなので、ここはケチらないほうが賢明です。NordVPNの2年プランなら月額約510円。コーヒー1杯分の費用で、旅行中のすべての通信を保護できます。30日間の返金保証が付いているので、旅行の期間だけ試してみるという使い方もできます。

対策2：eSIMで自前の回線を確保する

VPNと並んでおすすめしたいのが、eSIMによるモバイルデータ通信の確保です。

eSIMを使えば、現地の携帯回線をそのまま利用できます。自分専用の回線なので、フリーWiFiのように他人と回線を共有することがありません。つまり、パケットスニッフィングや中間者攻撃のリスクがそもそも発生しないのです。

筆者の海外旅行スタイルは、こうです。

基本の通信はeSIMのモバイルデータで賄う
ホテルや空港のWiFiを使うときはVPNを必ずオンにする
大容量のファイルダウンロードやアップデートなど、データ量が多い作業はホテルWiFi+VPNで行う

なぜフリーWiFiを完全に避けないかというと、eSIMのデータ容量には限りがあるからです。3GBや5GBのプランを使っている場合、動画視聴やアプリの大型アップデートをモバイルデータで行うとすぐに上限に達します。データ量の多い作業はホテルのWiFi（VPN経由）で済ませ、外出中の地図・SNS・メッセージはeSIMで――この使い分けが、コストとセキュリティのバランスとして最も合理的です。

eSIMとVPNは「どちらか一方」ではなく「両方あると死角がない」という関係です。eSIMで安全な基本回線を持ちつつ、WiFiを使わざるを得ない場面ではVPNで保護する。この二段構えが、現時点で最も合理的な海外の通信セキュリティ対策だと考えています。

海外旅行向けのeSIMについてはeSIM比較記事でサービスごとの料金・対応エリア・速度を比較しているので、あわせて参考にしてください。

対策3：その他の習慣でリスクを減らす

VPNとeSIM以外にも、日頃の習慣でリスクを下げることはできます。

自動接続をオフにする

スマホやPCの「既知のネットワークに自動接続」機能はオフにしておきましょう。過去に接続したSSIDと同じ名前の偽APが近くにあると、自動的に接続してしまう可能性があるためです。

iPhoneの場合：「設定」→「Wi-Fi」→ 各ネットワーク名の右にある「ⓘ」→「自動接続」をオフ。さらに「設定」→「Wi-Fi」→「接続を確認」を「確認」に設定しておくと、未知のネットワークに自動接続するのを防げます。

Androidの場合：「設定」→「ネットワークとインターネット」→「Wi-Fi」→「Wi-Fi設定」→「オープンネットワークに自動接続」をオフに。メーカーによって項目名が異なりますが、同様の設定が存在します。

二段階認証を有効にする

仮にパスワードが漏れたとしても、二段階認証（2FA）が有効であれば、それだけではログインされません。

おすすめの認証アプリはGoogle AuthenticatorまたはMicrosoft Authenticatorです。SMS認証よりもアプリ認証のほうが安全性は高いです（SMSはSIMスワップ攻撃で傍受されるリスクがあるため）。

旅行前に、最低でも以下のサービスで二段階認証を設定しておいてください。

Googleアカウント
メインで使っているメールサービス
ネットバンキング
Apple ID / Microsoftアカウント
SNS（X、Instagram、Facebook）

HTTPS接続を確認する

ブラウザのアドレスバーに鍵マークが表示されていること、URLが「https://」で始まっていることを確認してください。特にログインページや決済ページでは必ず確認する癖をつけましょう。

2026年現在、主要なブラウザ（Chrome、Safari、Firefox）はHTTPサイトにアクセスすると警告を表示してくれます。この警告が出たサイトでは、フリーWiFi環境で個人情報を入力しないでください。

フリーWiFiでは重要な操作をしない

VPNなしでフリーWiFiに接続しているときは、以下の操作は避けてください。

ネットバンキングへのログイン
クレジットカード情報の入力
仕事のメール送受信
クラウドストレージへの機密ファイルのアップロード
パスワードの変更

地図を見る、観光情報を調べる、SNSの閲覧（投稿ではなく閲覧だけ）程度であれば、大きなリスクにはなりません。

出発前のセキュリティチェックリスト

最後に、旅行前に済ませておくべき項目をリストにしておきます。パスポートや航空券の確認と一緒に、出発前日にチェックしてみてください。

VPNアプリをインストールし、動作を確認した
主要サービスの二段階認証を設定した
スマホのWiFi自動接続をオフにした
eSIMを購入・設定した（eSIM利用の場合）
ブラウザに保存しているパスワードを確認した（不要なものは削除）
緊急時に使えるクレジットカード会社の連絡先を控えた

まとめ：「知っている」だけで守れるものがある

フリーWiFiの危険性は、セキュリティの専門家にとっては常識です。でも、一般の旅行者でこれを意識している人はまだ少ないのが現実です。

ここまで読んだ方は、すでにフリーWiFiのリスクを「知っている」側の人間です。あとは行動に移すだけです。

フリーWiFiでは、同じネットワーク上の誰かに通信を覗かれるリスクが常にある
パスワード付きのWiFiでも、接続済みユーザー同士の通信は保護されない
偽のアクセスポイントは誰でも簡単に作れる。見た目では本物と区別できない
VPNを使えば、これらのリスクはほぼすべて無効化できる
eSIMで自前の回線を持てば、そもそもフリーWiFiに頼る場面を減らせる
VPN + eSIMの二段構えが、現時点での最適解

「自分は大丈夫」と思っている人ほど狙われやすいのがセキュリティの世界です。海外旅行の準備にパスポートやクレジットカードを確認するのと同じ感覚で、VPNの準備もチェックリストに入れておいてください。

海外旅行で使えるVPNサービスの料金・速度・使いやすさを比較しています。詳しくはVPN主要5社の比較記事をご覧ください。

VPN選びに迷ったら → 海外旅行向けVPN比較はこちら eSIM選びに迷ったら → 海外旅行向けeSIM比較はこちら

ホテルのWiFiに特化したセキュリティ検証は海外ホテルWiFiの安全性検証で詳しく扱っています。無料VPNのリスクについては無料VPNの危険性もあわせてお読みください。

よくある質問

海外のホテルのWiFiは安全？

残念ながら安全とは言い切れません。ホテルのWiFiは宿泊客全員で共有しているため、同じネットワーク上の他の利用者から通信を覗かれるリスクがあります。VPNを使えばこのリスクはほぼゼロにできます。

フリーWiFiでやってはいけないことは？

ネットバンキング、クレジットカード情報の入力、パスワードの入力は避けてください。どうしても必要な場合はVPNを接続してから行ってください。

VPNを使えばフリーWiFiは安全になる？

はい。VPNは通信を暗号化するため、同じWiFiネットワーク上の第三者に通信内容を傍受されるリスクをほぼゼロにできます。海外旅行ではVPNの利用を強くおすすめします。

無料のVPNでも大丈夫？

おすすめしません。無料VPNの多くはユーザーデータを収集・販売して収益を得ています。セキュリティ目的でVPNを使うのに、VPN事業者にデータを取られては本末転倒です。

スマホのモバイルデータ通信（eSIM）なら安全？

はい、自分専用の回線なのでフリーWiFiよりはるかに安全です。海外旅行ではeSIMで自前の回線を確保し、フリーWiFiを使うときだけVPNを併用するのが理想的です。