「カフェの Wi-Fi でクレジットカード番号を打ち込んではいけない」。この一文は 十年前から旅行ガイドに載り続けています。背景にあるのは、隣の席で ノート PC を広げたハッカーがオンラインバンキングの通信を傍受している、 というイメージです。2011 年なら十分にあり得ました。2026 年の今では、ほぼ起こりません。今どきの公衆 Wi-Fi における本当の敵はもう別物で、たいていはこちらのデバイスを覗いてくるのではなく、 こちらが自分から間違ったフォームに何かを打ち込むのを待っています。
ここでは神話と本当のリスクをきちんと切り分けておきたいところです。 旧来の注意書きの多くは、HTTPS と最近のプラットフォーム側のセキュリティで実質的に片付いた問題ばかり扱っています。 一方で、captive portal や evil twin ネットワーク、デバイスを片っ端からスキャンしてくるワームといったリスクは、 空港のゲートにいようと自宅にいようと、いまも現役のままです。
HTTPS がすでに片付けてくれていること
いまや Web トラフィックの 95 パーセント以上が HTTPS で配信されています。つまり、ブラウザとサーバーのあいだには暗号化された トンネルが張られていて、同じ Wi-Fi につながっている第三者がそれを読むことはできません。パスワードもカード情報も、 チャットもメールも、隣の席のハッカーから見れば読めないバイナリの並びでしかありません。
最近のブラウザはここにさらに層を重ねています。Chrome や Firefox は暗号化されていないログインフォームを見つけると警告を出します。HSTS (Strict Transport Security) は信頼済みのサイトに対して HTTPS でしか開かないよう強制し、攻撃者が HTTP に引きずり下ろせないようにしてくれます。DNS-over-HTTPS は「どのサイトを開こうとしているか」という問い合わせ自体まで暗号化します。
この結果、古典的な「カフェでの man in the middle」攻撃は まともなサイトではほぼ通用しなくなっています。気をつけるべきなのは、 証明書の警告を自分から押し切って進んでしまうことです。「このまま続行」を 一回クリックしてしまうだけで、これらの保護は丸ごと無効化されます。
公衆 Wi-Fi における本当のリスク
captive portal を悪用したフィッシング。 空港、ホテル、駅では、Wi-Fi の利用規約に同意させるためのログインページが表示されます。攻撃者はこのページを そっくり真似て作り、そこでメールアドレスを、場合によってはホテル予約の ログイン情報まで聞き出そうとしてきます。これは技術的な攻撃ではなくソーシャルエンジニアリング で、Wi-Fi のポップアップに出てくる URL をいちいち確認する人がいないからこそ、よく成立してしまいます。
開いているポートへの攻撃。 ノート PC やスマートフォンがファイル共有、プリンター、SSH といったサービスを外向きに公開していると、同じ Wi-Fi につながった他のデバイスからもそれらが見えてしまいます。ほとんどの OS は公衆 Wi-Fi を自動で「パブリックプロファイル」に切り替えて これらをブロックしますが、その設定を解除したまま放置していると、 周囲のデバイスから格好のスキャン対象になります。
安物ルーターでの DNS ハイジャック。 カフェのルーターがきちんと設定されているとは限りません。なかには DNS の問い合わせを広告フィルタリングのサービスへ、最悪の場合は 改ざんされた DNS サーバーへ向けて転送するものもあります。DNS-over-HTTPS を使っていないと、特定のドメインで誤った IP が返ってくることになりかねません。
HTTP サイトで拾われるログイン。 今ではかなり例外的ですが、社内向けアプリやルーターの Web UI、安価な IoT サービスのなかには、いまだに暗号化なしで動いているものがあります。公衆ネットワーク からそういうサイトにログインするなら、自分が何をしているかは最低限わかっておきましょう。
evil twin が本当に通用するのはどんなときか
evil twin とは、正規のアクセスポイントに成りすました Wi-Fi アクセスポイントのことです。多くの場合、同じ名前や よく似た名前(たとえば「Starbucks_Free」など)を使い、より強い電波を 出してデバイスを勝手にそちらへつなげてしまいます。そうなれば攻撃者は 送信内容をひと通り見られますが、HTTPS が効いているうちはたいした情報は得られません。
危険になるのは、evil twin が、証明書のインストールを要求してくる captive portal と組み合わされているときや、よく知られたサービスを装った偽のログインページに リダイレクトしてくるときです。攻撃者が用意した証明書を自分の手で 入れてしまった瞬間に、TLS のセキュリティモデルは崩れます。こうした要求は例外なく拒否してください。
もうひとつの危険なパターンは、証明書をきちんと検証していないアプリを使っている ケースです。pinning をしていなかったり、システムの信頼チェーンを緩く扱っていたりするアプリですね。 メジャーなアプリは今ではおおむね大丈夫ですが、古いアプリや企業向けの カスタムソフトウェアはそうでないことがよくあります。
VPN が効くところと効かないところ
VPN は接続のコントロールを、カフェのルーターから別の事業者へと 移してくれます。ローカルネットワークが信用できないときや、地域制限を 回避したいときには役に立ちます。ただし HTTPS の代わりにはなりませんし、captive portal を使ったフィッシングも止められません。フィッシングのページは VPN のトンネルよりも手前にあるからです。
隔離されたブラウザセッションは、これを補ってくれます。出番は、信頼できないサイトを 開きたいときや、細工された captive portal に引っかかるのがこわい状況でログインするときです。ブラウザは 手元のデバイスではなくクラウド側で動き、こちらには映像だけが返ってきます。evil twin ネットワークで偽装された証明書がぶつかる先はクラウド上のブラウザであって、 手元のデバイスではありません。詳しい比較は Virtual Browsers vs VPNsを参照してください。
本当に意味のある実践ルール
昔ながらの「怖い話リスト」ではなく、2026 年でもちゃんと役に立つ短いバージョンを置いておきます。
- 1
公衆 Wi-Fi はパブリックプロファイルのまま使う
ファイル共有も、外向きに口を開けたサービスも禁止です。OS に聞かれたら「パブリック」と答えておきましょう。 - 2
証明書の警告は絶対に押し切らない
ブラウザが「この接続はプライベートではありません」と言ってきたら、迷わず引き返します。 公衆ネットワークで「このまま続行」をさっと押す価値のあるサイトなど ありません。 - 3
Wi-Fi 用の証明書は絶対にインストールしない
まともなカフェや空港がそんなものを要求してくることはありません。ポータルが CA のインストールを強く促してきたら、その時点で相手は攻撃者です。 - 4
VPN は普段使いに、ログインの本番には隔離ブラウザを
VPN は詮索好きなネットワークに対するベースの安心感を底上げしてくれます。 重要なログインはそれにくわえて、タブを閉じれば消える隔離ブラウザのなかで 済ませてください。
どんな端末でも、デスクトップ並みの快適さを。
Browser.lol を無料で試して、スマホやタブレットでも PC 並みの快適さを体感してみませんか?
デスクトップブラウザを試すダウンロード不要・どんな端末でも動作
