コーヒーショップ、ホテル、駅、空港、居酒屋、マンガ喫茶。いまや「無料でつながるWi-Fi(ワイファイ)」がない場所を探すほうが難しくなりました。海外の空港でも、到着ゲートを出た瞬間にいくつもの電波が飛び込んできます。
便利です。ありがたいです。ただ、IT小僧としてはひとつ言っておきたい。その電波、誰が出しているのか、あなたは確認しましたか?
「パスワードが必要だから大丈夫」と思っている人が、いちばん危ない。この記事では、公衆Wi-Fiの何が危険で、何は実は大丈夫で、外出先でどう身を守ればいいのかを、煽らずに整理します。
この記事でわかること
・公衆Wi-Fiに潜む4つのリスク
・「パスワードあり」が安全とは限らない理由
・実際に有罪判決が出た偽Wi-Fi事件
・煽り記事が言わない「HTTPS(エイチティーティーピーエス)がある今」の現実
・外出先での具体的な守り方(設定・テザリング・VPN)
「無料Wi-Fi」の何が危ないのか
自宅のWi-Fiやポケット型Wi-Fiと、街なかの公衆Wi-Fiには決定的な違いがあります。機器を管理しているのが自分ではない、という一点です。
電波は目に見えません。SSID(エスエスアイディー/ネットワークの名前)という文字列だけが、利用者に与えられた唯一の手がかりです。そして、その文字列は誰でも自由に名乗れます。ここがすべての出発点です。
| リスク | どういうことか |
| 偽アクセスポイント | 正規の名前をそっくり真似た電波を、悪意ある第三者が近くから飛ばす。見分けはほぼ不可能。 |
| 通信の盗み見 | 暗号化されていない通信は、同じ電波の届く範囲にいる他人に読まれる可能性がある。 |
| 偽の同意画面 | 接続直後に出る「利用規約に同意」の画面を偽装し、メールやSNSのログイン情報を入力させる。 |
| 端末どうしの覗き見 | 同じネットワークにつながった他人の端末から、共有設定を開いた端末が見えてしまうことがある。 |
パスワード付きなら安全、という最大の誤解
レジの横に貼ってある紙。「Wi-Fiの合言葉は coffee1234 です」。あれを見て「暗号化されているから安心だ」と思った人は、考え方を変えたほうがいい。
従来からよく使われている暗号化の方式(WPA2)では、全員が同じ合言葉を共有します。つまり、その合言葉を知っている人は、あなたと同じ店内にいる客も、貼り紙を写真に撮って帰った人も含めて全員。同じ合言葉を持つ者どうしでは、条件がそろえば通信の中身に手が届いてしまう余地が残ります。
さらに厄介なのは、合言葉が分かっているなら、同じ名前・同じ合言葉の偽物を立てるのも簡単だということ。「合言葉を入力させる」という手順そのものが、本物である証明にはならないのです。
豆知識:偽物を見抜く小ワザ
わざとでたらめな合言葉を入れてみる。本物なら当然はじかれます。それでスッとつながってしまったら、それは合言葉を検証していない偽物の疑いが濃い。ただし、これは万能ではありません。あくまで補助的な確認です。
なお、新しい方式(WPA3、そして公衆向けのEnhanced Open)では、利用者ごとに個別の鍵を使う仕組みになり、この「合言葉の共有」問題はかなり改善されています。総務省の案内でもこうした新方式が紹介されるようになりました。ただ、街のフリーWi-Fiがすべて対応しているかというと、現実はまだそこまで来ていません。
実際に有罪判決が出た「偽Wi-Fi」事件
机上の空論ではありません。オーストラリア連邦警察が摘発した事件を紹介します。
| 項目 | 内容 |
| 発覚のきっかけ | 2024年4月、国内線の機内で航空会社の従業員が「見慣れないWi-Fi」に気づいて通報 |
| 手口 | 持ち運べる小型の無線機器を使い、正規のWi-Fiとそっくりな電波を発信。接続した人に偽のログイン画面を見せて情報を集めていた |
| 場所 | パース、メルボルン、アデレードの各空港と、国内線の機内、および過去の勤務先関連の場所 |
| 結末 | 2024年に起訴され、2025年に禁錮7年4か月の判決。押収機器からは他人のログイン情報や大量の私的な画像が見つかった |
この男が使った手法のポイントは、スマホが「前につないだWi-Fiはないかな」と自分から呼びかける性質を利用したことです。呼びかけを拾って、その名前の電波を即席で作り出す。自動接続をオンにしたままの端末は、持ち主が気づく前につながってしまう。空港で急いでいる人間が、いちいち電波の正体を確認するでしょうか。しませんよね。そこを突かれました。
とはいえ、煽りすぎるのもフェアではない
ここで正直な話をします。「フリーWi-Fiにつないだ瞬間、クレジットカード番号が全部抜かれる」という書き方をする記事がありますが、あれは言いすぎです。
いまのウェブサイトのほとんどは HTTPS で通信します。ブラウザーとサイトの間が端から端まで暗号化されるので、途中の電波区間で盗み見ようとしても、中身は読めません。海外のセキュリティ研究者からも「偽アクセスポイント攻撃は実験室ではよくやるが、実際に野外で遭遇する例は多くない」という指摘が出ています。この冷静な視点は持っておくべきです。
問題は、HTTPS が守ってくれる範囲の外側に穴が残っていることです。
| HTTPSで守れること | HTTPSでは守れないこと |
| 入力した内容やページの中身が、途中で読まれるのを防ぐ | 利用者を「偽サイト」そのものへ誘い込む手口 |
| 通信相手が本物のサイトかを、証明書で確かめる | 証明書の警告が出たのに、利用者が「無視」を押してしまう行動 |
| 内容の改ざんを検知する | 「どのサイトを見たか」という接続先の記録は、経路側にある程度残る |
| — | 古いアプリや設定不備で、暗号化されないまま出ていく通信 |
結論。「全部筒抜け」は嘘。「だから何をしても平気」はもっと嘘。この中間に正解があります。
総務省が示す「たった2つ」のポイント
総務省は「公衆Wi-Fi利用者向け 簡易マニュアル」を公開しており、利用者がやるべきことを2点に絞っています。役所の資料にしては潔い。
ポイント1:接続するアクセスポイントをよく確認する
電波一覧に出てくる名前を鵜呑みにせず、店の掲示や店員への確認で「正しい名前」を突き合わせる。似た名前が2つ並んでいたら、どちらにもつながない判断を。
ポイント2:正しいURLでHTTPS通信しているか確認する
ブラウザーのアドレス欄を見る。鍵マークがあるか、ドメイン名が本物かを目視する。警告が出たら、そこで手を止める。
地味ですが、これが基本です。基本を守らずに小手先の道具だけ増やしても意味がありません。
外でやっていい操作、やめておく操作
危険度を整理しました。あくまで「守りの装備なしで公衆Wi-Fiにつないだ場合」の目安です。
| やろうとしていること | 判定 | ひとこと |
| ネットバンキング/送金 | やめる | 回線が復旧してからでも間に合う |
| カード情報を入力する買い物 | やめる | 偽サイトに誘導されたら終わり |
| 会社のシステムに入る | やめる | 被害が自分だけで済まない |
| SNSやメールへのログイン | 要注意 | 二要素認証を必ず有効に |
| ニュースやブログを読むだけ | まあ可 | それでも接続先の記録は残る |
| 動画を見る、地図を見る | まあ可 | 本来これが公衆Wi-Fiの用途 |
対策その1:そもそも、つながない
身もふたもない話ですが、これが最強です。スマホの回線を使ってパソコンをつなぐ「テザリング」を使えば、経路の管理者は自分自身になります。
通信量を気にする気持ちは分かります。ただ、大容量プランが当たり前になった今、「重要な操作のときだけテザリング」という使い分けなら、負担は知れています。カフェで動画を見るのは店のWi-Fi、口座を確認するのは自分の回線。この線引きだけでリスクの大半は消えます。
海外なら、現地で使える通信手段を確保しておく。空港の得体の知れない電波に頼らずに済む、というだけで価値があります。
対策その2:VPNで通信そのものを包む
どうしても公衆Wi-Fiを使わざるを得ない場面はあります。そこで登場するのが VPN(ブイピーエヌ/仮想専用線)です。
仕組みはシンプルで、自分の端末から契約先のサーバーまで、通信全体を丸ごと暗号化したトンネルに通すというもの。途中の電波がどんなに怪しくても、トンネルの中身は見えません。前述のオーストラリアの事件でも、警察は対策としてVPNの利用を挙げていました。
VPNが効くところ/効かないところ
効く:電波区間での盗み見、接続先の記録の隠蔽、海外の検閲や地域制限の回避
効かない:自分から偽サイトに情報を打ち込む行為、端末に入り込んだ不正なソフト
注意:「無料VPN」は、あなたの通信履歴を売って稼いでいる可能性を疑うべき。守るために入れたものが、いちばんの穴になる
VPNは道具であって免罪符ではありません。それでも、外出先での通信を守る手段としては、いま最も現実的な選択肢です。導入するなら、運営元がはっきりしていて、通信記録を残さない方針を明示している有料サービスを選んでください。
無料のVPNは使わないようにしてください。安全は、カネで買うものと心がけてください。
対策その3:端末側で、いますぐやる設定
お金も手間もかかりません。今日この場で終わる話です。
| やること | なぜ効くのか |
| 自動接続をオフにする | 端末が勝手に偽の電波へ飛び込むのを止める。これが最重要 |
| 使い終わったら「このネットワーク設定を削除」 | 端末が過去の接続先を呼びかけなくなり、偽装の材料を与えない |
| ファイル共有をオフにする | 同じネットワークにいる他人から端末の中が見えなくなる |
| 二要素認証を有効にする | 合言葉を盗まれても、それだけでは乗っ取られない |
| 使わないときはWi-Fiを切る | 電波を探す行為そのものが、位置や履歴の手がかりを撒いている |
| 証明書の警告を無視しない | 端末が「おかしい」と言っているときは、たいてい本当におかしい |
もうひとつ。Wi-Fiにつなぐのに、メールやSNSのアカウントでのログインを求めてくる画面は、それ自体が赤信号です。オーストラリアの警察も同じことを言っています。無料の電波を借りるだけなのに、なぜあなたのアカウント情報が必要なのか。理由がないなら、それは罠です。
海外のフリーWi-Fiは、さらに読めない
国内なら、まだ「店員に聞く」という手が使えます。海外はそうはいかない。言葉が通じない、掲示がない、そもそも誰が提供しているのかも分からない。
加えて、国によっては通信の監視が制度として存在します。安全か危険かという二択ではなく、中身が見られている前提で行動するのが正解です。旅先で口座を確認したくなる気持ちは分かりますが、宿の共用Wi-Fiでやることではありません。
海外に行くなら、出発前に通信手段と守りの道具を揃えておく。現地で慌てて探すのは、いちばんやってはいけないことです。
IT小僧コラム:「無料」の請求書は、どこかに回っている
金融系のシステムを触っていた頃、社内で徹底的に叩き込まれたことがあります。
「経路を信用するな」
回線がどれだけ立派でも、経路上の機器は誰かの持ち物です。だから通信は端から端まで自前で暗号化する。相手が本物かは証明書で確かめる。それでも足りないから多重の認証をかける。面倒でしたが、理由のある面倒でした。
ところが街に出ると、この前提がまるごと外れます。名前も知らない誰かが立てた機器に、財布とほぼ同じ価値を持つスマホを、ノーチェックで接続する。システム屋の感覚からすると、けっこう狂った行為です。
誤解のないように言っておくと、フリーWi-Fiを提供している店や自治体の大多数は善意です。集客のため、サービスのため、真面目に運用しています。問題は、善意の提供者と悪意の第三者を、利用者側から区別する手段がないことです。SSIDという文字列に、身分証明の機能はありません。
そして「無料」という言葉。ネットの世界で無料のサービスは、たいてい利用者自身が商品になっています。悪意がなくても、通信の履歴が広告のために使われていることはある。無料の請求書は、必ずどこかに回っているのです。
怖がって使うなとは言いません。使えばいい。ただ、「借り物の道を歩いている」という自覚を持って歩け、というだけの話です。
まとめ
1. 合言葉が必要でも「本物である証明」にはならない
2. 偽アクセスポイントは実在し、実際に有罪判決も出ている
3. HTTPSのおかげで盗み見の危険は減った。ただし偽サイト誘導は防げない
4. 自動接続をオフにする。これだけで多くの罠を回避できる
5. 大事な操作は自分の回線で。それが無理ならVPNを通す
6. 接続にSNSやメールのログインを求める画面は、その時点で疑う
セキュリティに「絶対安全」はありません。あるのは、確率を下げる積み重ねだけです。自動接続を切る。鍵マークを見る。大事な操作は自分の回線でやる。どれも地味で、どれも効きます。
次にコーヒーショップで電波一覧を開いたとき、ほんの2秒でいい。「これは、誰が出している電波だろう」と考えてみてください。その2秒が、あなたの財布と信用を守ります。
それでは、また。
