公衆Wi-Fiはどれくらい危険ですか？

以前ほど危険ではありませんが、依然として注意が必要な場面があります。現在はほぼすべての主要サービスがHTTPS（TLS）で通信を暗号化しているため、通信内容を盗み見られるリスクは大幅に低下しています。ただし、偽アクセスポイント（Evil Twin）による中間者攻撃、HTTPSに対応していないサイト、不正証明書によるSSLストリッピングなど、依然として有効な攻撃手法があるため、重要な操作（銀行・パスワード入力）はモバイル回線かVPN経由で行うことを推奨します。

公衆Wi-FiでVPNを使えば安全になりますか？

VPNはモバイルデバイスから出発点のVPNサーバーまでの通信を暗号化し、同じWi-Fiネットワーク上の盗聴者から通信内容を守る効果があります。ただしVPNサーバーより先の通信（インターネット側）の保護はHTTPS等に依存します。また、VPNプロバイダー自身がログを記録している可能性もあるため、信頼できるサービスを選ぶことが重要です。VPNは有効な防護手段ですが「完全な安全」を保証するものではありません。

公衆Wi-Fiで銀行アプリを使っても問題ありませんか？

銀行の公式アプリはHTTPS（TLS）で通信を暗号化しており、通信内容の盗聴は困難です。ただし偽アクセスポイント（Evil Twin）経由で偽サイトに誘導される攻撃に対しては、公式アプリの証明書検証が防衛になります。最も確実な対策はモバイル回線（4G/5G）かVPN接続での利用です。緊急時に公衆Wi-Fiで銀行アプリを使う場合は、使用後にパスワードを変更することを推奨します。

自動接続はなぜオフにする必要があるのですか？

端末の自動接続機能は、過去に接続したSSID（ネットワーク名）に一致するアクセスポイントへ自動的に接続します。攻撃者は「Free_Cafe_WiFi」「Airport_WiFi」のように実在するネットワーク名（SSID）と同じ名前の偽アクセスポイントを設置できます。自動接続がオンの場合、本物か偽物かを確認せずに接続してしまう可能性があります。信頼できるネットワーク（自宅・職場）以外は自動接続をオフにするか、接続後に毎回確認することを推奨します。

「HTTPSなら公衆Wi-Fiで何でも安全」は正しいですか？

完全には正しくありません。HTTPSはサーバーとの通信内容の暗号化と、正規サーバーへの接続確認（証明書検証）を行います。ただし①証明書の手動信頼設定（組織管理デバイスや誤操作）があると迂回される、②HTTPページへのリダイレクト前の短い瞬間（HSTS未適用サイト）、③フィッシングサイトでも正規のHTTPS証明書を取得できる、といった例外があります。HTTPS普及により以前よりリスクは低下しましたが、依然として注意が必要です。

公衆Wi-Fiの安全な使い方 — リスクと対策を正しく理解する

公衆Wi-Fiの主なリスクは中間者攻撃（MITM）と偽アクセスポイント（Evil Twin）だ。ただし現在はほぼすべての主要サービスがHTTPS（TLS）による通信暗号化に対応しており、以前に比べてリスクは大幅に低下している。それでも銀行・パスワード入力などの機密操作は、モバイル回線（4G/5G）かVPN経由で行うことを推奨する。

この記事では、公衆Wi-Fiで発生し得る脅威の仕組みと、現実的なリスクレベル、具体的な安全対策を解説する。Wi-Fiに接続しながらデータ消費を節約したい場合はデータ通信量の節約テクニックも参照してほしい。

公衆Wi-Fiで起こり得る主なリスク

公衆Wi-Fiの脅威を理解するには、まず攻撃者がどのような方法で情報を狙うかを把握する必要がある。

中間者攻撃（MITM: Man-in-the-Middle Attack）

中間者攻撃とは、攻撃者がユーザーとサーバーの通信経路に割り込み、通信内容を傍受・改ざんする攻撃手法だ。公衆Wi-Fiでは、同じネットワークに接続しているすべてのデバイス間の通信を傍受できる技術的な余地がある。

ただし現在は多くの通信がHTTPS（TLS）で暗号化されているため、傍受しても暗号化されたデータしか見えない。HTTP（暗号化なし）で通信しているサービスは依然としてリスクが高い。

偽アクセスポイント（Evil Twin）

Evil Twinとは、攻撃者が正規のアクセスポイントと同じSSID（ネットワーク名）を持つ偽のWi-Fiアクセスポイントを設置する手法だ。例えば「Airport_Free_WiFi」という名前の偽アクセスポイントを設置し、接続したユーザーの通信を中継して傍受する。

端末はSSIDが一致するネットワークを自動的に選択することがあるため、知らずに偽のアクセスポイントに接続してしまうリスクがある。接続後に通信を傍受されたり、偽のログイン画面（フィッシングページ）に誘導されたりする場合がある。

暗号化されていないHTTP通信の盗聴

HTTPSではなくHTTPで通信しているウェブサービスは、通信内容が平文（暗号化なし）で流れる。同じWi-Fiネットワーク上の第三者がパケットキャプチャツールを使えば、その内容を読み取れる。送信したテキスト・ログイン情報・閲覧したURLなどが漏洩する可能性がある。

現在は多くの主要ウェブサイトがHTTPSに移行済みだが、古いサービスや一部のAPIではHTTPが使われることがある。ブラウザのアドレスバーで「https://」から始まることを確認する習慣が有効だ。

HTTPSの普及とリスクの変化

2010年代以降、HTTPS（TLS）の普及により公衆Wi-Fiのリスクは大幅に低下した。現在の状況を正確に把握することが重要だ。

現在のHTTPS普及状況

Googleの透明性レポートによると、Chromeでロードされたページのうちhttps://で始まるページの割合は近年大幅に増加している。ほとんどの主要なサービス（SNS・メール・銀行・ショッピングサイト）はHTTPSを採用している。

HTTPSはTLS（Transport Layer Security）プロトコルを使い、以下の2つを提供する。

通信内容の暗号化: 第三者が通信を傍受しても、暗号化されたデータしか見えない
サーバー証明書による認証: 接続先が本物のサーバーであることを確認できる

HTTPSでも残るリスク

HTTPS普及によってリスクは下がったが、ゼロにはなっていない。

HSTS未設定サイトへの最初のHTTPアクセス: HTTPSへのリダイレクト前の短い間、平文通信が発生する可能性がある（SSLストリッピング攻撃に悪用される）
フィッシングサイトのHTTPS化: 攻撃者も正規のHTTPS証明書を取得できるため、URLが「https://」で始まっていても偽サイトである可能性がある
組織管理デバイスや誤操作による証明書の手動信頼追加: 悪意ある証明書を信頼するよう誘導された場合、暗号化が迂回される

安全に使うための具体的な対策

対策1: 自動接続をオフにする

スマートフォンの「保存済みネットワークに自動接続」機能は、過去に接続したSSIDと同じ名前のアクセスポイントに自動接続する。これが Evil Twin攻撃に悪用される主な経路の1つだ。

iPhoneの場合（2026年6月時点）

「設定」→「Wi-Fi」で各ネットワークの「i」アイコンをタップ
「自動接続」をオフにすることで、そのネットワークへの自動接続を無効にできる

Androidの場合（2026年6月時点）

「設定」→「ネットワークとインターネット」→「Wi-Fi」→保存済みネットワーク
各ネットワーク名をタップし「自動接続」をオフにする（機種・バージョンにより操作手順が異なる）

推奨: 自宅・職場のWi-Fiは自動接続オンのまま運用してよい。公共の場所（カフェ・空港・ホテル等）のWi-Fiは自動接続をオフにし、必要なときのみ手動接続することを推奨する。

対策2: アクセスポイントの正当性を確認する

カフェや空港で公衆Wi-Fiに接続する際は、スタッフや公式看板でSSIDとパスワードを確認してから接続する。「Free_WiFi」「Airport_Open」のような誰でも接続できそうな名前のオープンネットワークは特に注意が必要だ。

正規の公衆Wi-Fiには多くの場合、接続後にキャプティブポータル（ブラウザで開く同意画面）がある。ただしキャプティブポータル自体はHTTPで提供されることも多く、個人情報の入力は求めないのが一般的だ（名前・住所などを入力させるポータルは要注意）。

対策3: VPNを活用する

VPN（Virtual Private Network）は、端末からVPNサーバーまでの通信をトンネル暗号化する技術だ。公衆Wi-Fiでの通信全体を暗号化することで、同じネットワーク上の盗聴者から通信内容を保護できる。

VPNの効果:

同じWi-Fiネットワーク上の第三者による通信の傍受を防ぐ
接続先のIPアドレスをVPNサーバーのものにマスクする
Evil TwinによるHTTP通信の傍受を防ぐ（HTTPSと組み合わせることで効果が高い）

VPNの限界:

VPNサーバーより先（インターネット側）の通信はVPNで保護されない
VPNプロバイダーが通信ログを記録している場合、プロバイダー自身には見える
通信速度が低下することがある

VPNサービスは有料のものと無料のものがあるが、無料サービスは広告収入やログの収集・販売を収益源にしているケースがある。信頼できるプロバイダーを選ぶことが重要だ。

対策4: 機密操作はモバイル回線（4G/5G）かVPNで行う

最も確実な対策は、重要な操作を公衆Wi-Fiで行わないことだ。

公衆Wi-Fiで避けるべき操作の例:

インターネットバンキング・証券口座の操作
クレジットカード情報の入力
パスワードの変更・アカウント設定の変更
仕事の機密データの送受信

これらの操作はモバイル回線（4G/5G）に切り替えて行う。モバイル回線でのデータ消費を気にする場合は、デュアルSIMで旅行中の通信を管理する方法のように副回線を活用する手段もある。

対策5: HTTPSを確認する

ブラウザで操作する際は、アドレスバーが「https://」で始まることを確認する。現在の主要ブラウザ（Chrome・Firefox・Safari等）は、HTTP接続のページに「保護されていない通信」の警告を表示する機能がある。

HSTS（HTTP Strict Transport Security）に対応しているサービスでは、ブラウザがHTTPへのアクセスを自動的にHTTPSにアップグレードする。主要なサービスの多くはHSTSを実装している。

対策6: OSとアプリを最新の状態に保つ

OSやアプリの脆弱性（セキュリティ上の欠陥）を悪用した攻撃は、アップデートによって修正される。公衆Wi-Fiの利用有無にかかわらず、OSのセキュリティアップデートは速やかに適用することを推奨する。

iPhoneの場合（2026年6月時点）:

「設定」→「一般」→「ソフトウェア・アップデート」→「自動アップデート」をオンにする
セキュリティアップデートのみを自動適用する設定が可能

Androidの場合（2026年6月時点）:

「設定」→「システム」→「ソフトウェアアップデート」（機種によって表示が異なる）
Google Play プロテクトがオンになっているか確認する

なお、OSアップデートのファイルサイズは数百MB〜数GBになることがある。公衆Wi-Fiでの大容量ダウンロードはリスクが高いため、セキュリティアップデートは自宅や職場のWi-Fiで行うことを推奨する。データ消費量の管理についてはデータ通信量の目安も参照してほしい。

特にリスクの高い状況

すべての公衆Wi-Fiが同じリスクレベルというわけではない。状況によってリスクの高さが異なる。

オープンネットワーク（パスワードなし）

パスワードなしで接続できるオープンネットワークは、WPA2/WPA3による通信の暗号化がない。同じネットワーク上のすべての通信が傍受可能な状態になる。ただしWi-Fi CERTIFIED Enhanced Open（OWE: Opportunistic Wireless Encryption）に対応したアクセスポイントでは、パスワードなしでも各ユーザーに個別の暗号化が適用され受動的な盗聴から保護される。ただしなりすまし（Evil Twin）に対する認証保護は行わず、Enhanced Openの普及は途上で全ての公衆Wi-Fiが対応しているわけではない。HTTPS通信であれば内容の傍受は防げるが、接続先のドメイン名はDNSクエリやTLSハンドシェイクのSNI（Server Name Indication）フィールドに現れる場合がある。

ホテル・空港・交通機関のWi-Fi

不特定多数のユーザーが同じネットワークを利用するため、リスクが高い環境の1つだ。特に国際線・空港のWi-Fiでは多国籍の利用者が集まり、攻撃者の関心を引きやすい。海外でのモバイル通信の選択肢については海外でスマホを使う — 国際ローミングガイドで整理している。

認証なしでの接続継続

一度接続したWi-Fiへの自動再接続は、前述のEvil Twin攻撃のリスクを高める。特に「Airport_WiFi」「Free_Hotspot」などの汎用的な名前のSSIDを端末が記憶している場合は、同名の偽APに自動接続するリスクがある。定期的に端末の「保存済みネットワーク」を整理することを推奨する。

Wi-Fi Callingと公衆Wi-Fiの組み合わせ

Wi-Fi Calling（VoWiFi）は公衆Wi-Fi経由でも利用できる技術だが、セキュリティ面での考慮が必要だ。

Wi-Fi Callingは端末からキャリアのIMSコアまでIPsecトンネルで暗号化されるため、公衆Wi-Fi経由でも通話内容は保護される設計になっている。ただしキャリアや端末の実装により詳細は異なる。Wi-Fi Callingの仕組みと有効化条件についてはWi-Fi Calling（VoWiFi）とは — 電波が弱い場所での通話で詳しく解説している。

公衆Wi-FiでWi-Fi Callingを使う場合、通話自体のセキュリティはIPsecで保護されるが、同時に行うブラウジングやアプリ通信は別途対策（HTTPS確認・VPN）が必要になる点に注意してほしい。

リスクを正しく評価する

「公衆Wi-Fiは危険」という認識は正しい部分もあるが、過度に恐れる必要もない。現実的なリスク評価を持つことが重要だ。

現在の公衆Wi-Fiのリスクが以前より低い理由

HTTPS（TLS）がほぼすべての主要サービスに普及し、通信内容の暗号化が標準になった
現代のブラウザはHTTP接続に「保護されていない通信」の警告を表示する
HSTSプリロードリストにより、主要ドメインへの接続は自動的にHTTPSにアップグレードされる
多くのアプリが独自の暗号化（TLS/SSL）を実装している

依然として存在するリスク

Evil Twin（偽アクセスポイント）による中間者攻撃
HTTPのまま残っているサービスへの接続
フィッシング誘導（URLが正規かどうかを確認しない場合）
ゼロデイ脆弱性を悪用した攻撃（更新前のOSに対して）

公衆Wi-Fiを使う際の判断基準

状況に応じて、以下の基準で判断することを推奨する。

操作の種類	推奨する接続手段
銀行・証券・クレジットカード操作	モバイル回線（4G/5G）またはVPN必須
パスワードの入力・変更	モバイル回線またはVPN推奨
SNS・メール（HTTPS対応）	公衆Wi-Fiでも可（Evil Twin注意）
動画視聴・ニュース閲覧（HTTPS）	公衆Wi-Fiで問題ない場合が多い
ファイルのアップロード（機密文書）	モバイル回線またはVPN推奨

モバイル回線を使う場合のデータ消費が増える点は避けられない。自分のプランのデータ残量を把握しながら使い分けることが重要だ。

FAQ

Q: 公衆Wi-FiでLINE通話をするのは危険ですか？

LINEはEnd-to-End Encryption（E2EE）を一部通話機能に採用しており、サーバー側での傍受に対して保護されています。ただしLINEの通話がE2EEで保護されているかどうかは通話の種類と設定による部分があります。通常の音声通話・ビデオ通話はサーバー経由で暗号化される仕組みになっています。公衆Wi-Fiでの会話内容の傍受は技術的には困難ですが、機密性の高い内容を公衆Wi-Fi経由で話すことは避けることを推奨します。

Q: VPNを使うとデータ消費量は増えますか？

VPN接続によるオーバーヘッド（VPNプロトコルのヘッダーや暗号化処理に伴う追加通信）は一般的に数%程度の増加にとどまります。体感できるレベルの大幅な増加にはなりません。ただしVPNサーバーへの接続経路が遠い場合は通信速度の低下が発生することがあります。

Q: 公衆Wi-Fiに接続しながらBluetoothは安全ですか？

Wi-FiとBluetoothは独立した無線技術なので、公衆Wi-Fiへの接続がBluetooth通信に直接影響することはありません。ただしBluetoothにも固有のセキュリティリスク（ペアリングの脆弱性等）があるため、不特定多数が集まる場所ではBluetoothの検出可能設定をオフにすることを推奨します。

Q: カフェの有料Wi-Fi（プリペイドカードで接続）は無料Wi-Fiより安全ですか？

有料か無料かではなく、暗号化方式（WPA2/WPA3）の有無と、ネットワーク管理者の信頼性が重要です。有料のカフェWi-Fiでも、同じネットワーク上に複数のユーザーが接続している構成は変わらないため、リスクの根本的な違いはありません。どちらの場合もHTTPS確認とVPN活用が有効です。

まとめ

公衆Wi-Fiのリスクは以前と比べて大幅に低下したが、ゼロではない。以下の対策を組み合わせることで、現実的なリスクの大部分に対処できる。

自動接続をオフにする — 信頼できるネットワーク（自宅・職場）以外は手動接続
SSIDを確認してから接続する — スタッフや公式看板でネットワーク名を確認
機密操作はモバイル回線かVPNで行う — 銀行・パスワード変更は公衆Wi-Fiを避ける
HTTPSを確認する — アドレスバーの「https://」を必ず確認
VPNを活用する — 公衆Wi-Fiを頻繁に使う場合は信頼できるVPNサービスを検討
OSとアプリを最新に保つ — セキュリティアップデートは速やかに適用する