SIer時代、社内ネットワークのSquidベースのプロキシサーバーを管理していた。毎朝アクセスログを目視チェックするのが日課で、どの端末が何時にどのURLへアクセスしたか、すべて記録されていた。同僚が「シークレットモードなら履歴残りませんよね?」と聞いてきたとき、ログの実物を見せて「残ってますよ」と答えた記憶がある。フリーWi-Fiの話をする前に、この経験を思い出してほしい。ネットワークを管理する側には、端末の通信メタデータが見える。

ただし2026年現在、「フリーWi-Fi=危険」という2010年代の常識はかなり古くなった。結論から言う。HTTPS暗号化が標準になった今、フリーWi-Fiの危険度は大幅に下がっている。だが「ゼロ」にはなっていない。

2026年、フリーWi-Fiの危険度は確実に下がった

前提を確認する。

2026年6月時点で、主要WebサイトのHTTPS対応率は95%を超えている。Google透明性レポートによれば、Chromeで読み込まれるページのうちHTTPS接続の割合はデスクトップで97%、モバイルで95%に達した。カフェのフリーWi-Fiから接続しても、ブラウザとWebサーバー間の通信内容(パスワード、フォーム入力値、表示ページの中身)は暗号化されている。盗聴されても中身は読めない。

さらに大きな動きがある。Googleは2025年10月、Chrome 154(2026年10月リリース予定)で「HTTPS-First Mode」を全ユーザーにデフォルト有効化すると公式ブログで発表した。先行して2026年4月のChrome 147では、「拡張セーフブラウジング」利用者(10億人超)に対して適用済みだ。HTTPサイトにアクセスしようとすると自動でHTTPSに書き換わるか、警告画面が表示される。

2010年代に恐れられていた「フリーWi-Fiでパスワードが盗聴される」シナリオは、HTTPS化が進んだ2026年では極めて起きにくくなった。これは事実である。

HTTPSでも「見えてしまう」情報

だがHTTPSは通信の中身を暗号化するだけだ。通信の存在自体は暗号化しない。

プロキシログを毎朝チェックしていた経験から言えば、通信内容が読めなくても以下はネットワーク管理者側に残る。

  • DNSクエリ: どのドメイン名を問い合わせたか。「bank.example.com」にアクセスした事実は、DNS over HTTPS(DoH)を有効にしていない限り平文でネットワーク上を流れる
  • 接続先IPアドレス: 暗号化通信でもIPアドレスは見える。IPからサービス名を逆引きできるケースは多い
  • 通信タイミングとサイズ: いつ、どの程度の通信量が発生したかのパターン。動画視聴かテキストチャットか、ある程度推測できる
  • 端末MACアドレス: Wi-Fi接続時に送出される物理アドレス(iOS 14以降・Android 10以降はランダム化がデフォルト)

通信の中身は読めない。だが、どの端末がいつどのサーバーにどの程度の量の通信を行ったかは暗号化の外にある。これがメタデータだ。カフェで作業中に自社サービスの管理画面へアクセスしたとして、その事実(接続先ドメイン名)がネットワーク上に漏れるリスクは、HTTPSだけでは消えない。

偽アクセスポイント(Evil Twin)は2026年でも現役

HTTPS化で解決しない最大の脅威がEvil Twin攻撃だ。

手口はシンプルである。攻撃者がカフェの正規SSIDと同じ名前のWi-Fiを設置し、電波強度を正規より強くする。端末は信号の強い方に自動接続する。偽アクセスポイント経由でもHTTPS通信の中身は読めないが、攻撃者はDNS応答を偽装できる。「bank.example.com」へのアクセスを見た目そっくりの偽サイトに誘導し、ブラウザの証明書エラーを利用者が無視して進めば、認証情報がそのまま攻撃者の手に渡る。

LastPassのセキュリティブログが引用する調査によれば、公共Wi-Fiに無条件で接続すると回答したユーザーは82%に上る。「Starbucks_Free_WiFi」と表示されていて、それが正規か偽物かを判断する術は一般利用者にはほぼない。

SIer時代、サーバー障害だと思ってアプリ側を調べていたら実はファイアウォール設定変更が原因だったことがある。原因は自分が最初に疑った場所にあるとは限らない。フリーWi-Fiのトラブルも同じ構造で、ブラウザの証明書警告が出たときに「サイト側の問題だろう」と決め打ちして進んでしまうのが最も危険だ。証明書警告は絶対に無視してはならない。

接続前に確認すべき設定(Chrome・iPhone・Windows)

以下の設定を事前に済ませておけば、フリーWi-Fiのリスクは実用上かなり低くなる。

Chrome: HTTPS-First Modeを有効化

Chrome 147以降で「拡張セーフブラウジング」をオンにしていれば、2026年4月から自動で有効化済みだ。手動で設定する場合は、アドレスバーに chrome://settings/security と入力し、「常に安全な接続を使用する」をオンにする。HTTPサイトにアクセスしようとした際に自動でHTTPSに切り替わるか、警告が表示されるようになる。

Chrome: セキュアDNS(DoH)を有効化

DNSクエリの暗号化はメタデータ漏えい対策の要になる。同じ chrome://settings/security の画面で「セキュアDNSを使用する」をオンにし、プロバイダをCloudflare(1.1.1.1)またはGoogle(8.8.8.8)に設定する。これでDNSクエリがHTTPS経由で送信され、接続先ドメイン名がフリーWi-Fiのネットワーク上に平文で流れなくなる。

iPhone: Wi-Fi自動接続を制御する

Evil Twin対策として最も効果が高い。「設定」→「Wi-Fi」→ 画面下部の「接続を確認」を「確認」に変更する。さらに「自動接続ホットスポット」を「確認して接続」に切り替える。これで未知のSSIDに勝手に繋がる事態を防げる。

iPhone: プライベートWi-Fiアドレスの確認

iOS 18以降、ネットワークごとに「プライベートWi-Fiアドレス」がデフォルトでオンになっている。「設定」→「Wi-Fi」→ 接続中ネットワーク名の横の「i」→「プライベートWi-Fiアドレス」がオンであることを確認する。MACアドレスによる端末の追跡を防止する設定だ。

Windows 11: ランダムハードウェアアドレス

「設定」→「ネットワークとインターネット」→「Wi-Fi」→「ランダムなハードウェアアドレス」をオンにする。接続先ネットワークごとにMACアドレスがランダム化され、行動追跡の材料を減らせる。

VPNが本当に必要な場面と無料の代替策

VPNサービスの広告では「フリーWi-Fiには必ずVPNを」と繰り返される。だが正直に書くと、HTTPS + DoH + HTTPS-First Modeが有効な環境で一般的なWeb閲覧をする限り、VPNが追加で防いでくれるリスクは限定的だ。

VPNに明確な価値があるのは以下の場面である。

  • HTTP通信が残る古いアプリを使う場合: VPNなら端末全体の通信を暗号化でき、アプリ個別のHTTPS対応状況に依存しない
  • 接続先IPアドレスそのものを隠したい場合: どのサービスに接続したかの事実自体を秘匿したいならVPN経由のアクセスが有効
  • Evil Twin環境下でのDNS偽装防止: VPNはDNSクエリもVPNトンネル経由で処理するため、偽アクセスポイントによるDNS偽装を回避できる
  • 会社のネットワークへのリモート接続: 業務利用なら会社支給のVPN一択だ。これは選択ではなく前提条件にあたる

筆者の場合、朝5時の検証作業はさすがに自宅Wi-Fiだが、週1でコワーキングに出るときはCloudflare WARP(1.1.1.1アプリ)の無料プランを有効にしている。通信をCloudflareのネットワーク経由に変更するサービスで、DoHと簡易的なVPN機能を月額ゼロ円でカバーできる。iPhone・PC双方にインストールしてスイッチを入れるだけなので、設定の手間もほぼない。有料VPNの月額1,000〜1,500円を払う前に、まずこちらを試す価値がある。

※ 検証は筆者環境(MacBook Pro M3 Pro / iPhone 15 Pro / Chrome 147, 2026年6月時点)で実施。他構成での挙動は未確認。

FAQ

フリーWi-Fiで銀行アプリを使っても安全?

2026年時点の主要銀行アプリはすべてHTTPS(TLS 1.2以上)で通信しており、フリーWi-Fi経由でも通信内容は暗号化されている。ただしEvil Twin攻撃でDNS偽装された場合にブラウザ経由で偽サイトに誘導されるリスクはゼロではない。銀行サービスは必ず公式アプリストアからインストールした専用アプリを使い、ブラウザ経由でのアクセスは避けるのが安全だ。

無料VPNアプリは使っても大丈夫?

無料VPNアプリの中には利用者の通信データを広告目的で第三者に販売しているものがある。フリーWi-Fiのリスクを回避するつもりが、VPNアプリ側にデータを渡す本末転倒になりかねない。無料で使うならCloudflare WARP(1.1.1.1アプリ)がCDN大手の運営で信頼性が高い。利用者データの販売を行わないことがプライバシーポリシーで明記されている。

フリーWi-Fiに「鍵マーク」が付いていれば安全?

鍵マーク(WPA2/WPA3暗号化)は端末とWi-Fiルーター間の通信が暗号化されていることを示すが、同じパスワードで接続する全員が同じ暗号鍵を共有している。同一ネットワーク上の他の利用者による傍受リスクまでは排除できない。鍵マークの有無よりもHTTPS + DoHの設定確認を優先すべきだ。

自宅Wi-Fiでもこれらの設定は意味がある?

ある。特にDoH(DNS over HTTPS)は、ISP(インターネット回線事業者)によるDNSクエリの記録を防ぐ効果がある。自宅Wi-Fiでは偽アクセスポイントのリスクはほぼないが、DNS暗号化とHTTPS-First Modeはオンにしておいて損はない。

参考文献