カフェ・フリーWi-Fiのリスクと対策――気軽に使う前に知っておきたいこと
スタバや街中のカフェの無料Wi-Fiは「全員が同じパスワードを共有」という構造ゆえに盗聴・偽APが起きやすい環境です。VPN常時ON+キルスイッチを軸に、ノマド作業者向けの実用対策を編集部が解説します。
監修: VPN選び.jp 編集部
スタバ、ドトール、街中のチェーン店、ファストフード、コワーキングの共用Wi-Fi――誰でも気軽に使える便利な接続環境です。仕事の合間にメールを開いたり、SNSを返したり、ちょっとした調べ物をしたり。多くの人にとって、もう日常の一部になっています。
ただ、便利さの裏側で、カフェのフリーWi-Fiは「自宅Wi-Fiに比べてセキュリティ的にどうか」というと、はっきりリスクが高い領域です。とくに、誰でも繋げる=パスワードなし、または店の入口に貼ってある同じパスワードを全員が使っている、という構造そのものが弱点になっています。
この記事では、カフェWi-Fiでよく狙われる4つのリスクと、編集部おすすめの「コーヒー1杯ぶんの時間でできる」現実的な対策を紹介します。
カフェWi-Fiで実際に起きていること
パスワードなし/全員共通のWi-Fi=盗聴のハードルが極端に低い
カフェのWi-Fiは「Free」「Open」のような名前で、パスワードなしで繋げるか、店内に貼り紙されたパスワードを全員が使う構造です。これは、同じ店内にいる客同士が同じLANに入っている状態で、技術的なハードルがあれば誰でも他人の通信を覗ける位置関係になります。
「うちはパスワード制ですよ」と言われても、パスワードが店全員に配られている時点で「鍵が空き状態」と本質的に変わりません。
偽SSID(エビルツインアタック)が立てやすい
Starbucks_WiFi や FREE-WiFi-DOUTOR のように、いかにも本物っぽいSSIDを近くの席から立てる手口があります。ノートPCサイズの機材1台で完結するため、混雑したカフェほど見破られにくいです。
被害者は「いつもと同じ場所だから、いつもと同じWi-Fiだろう」と思って繋ぐので、入力したログイン情報がそのまま攻撃者側に届きます。
画面・キーボードの覗き見と組み合わさる
カフェ特有のリスクとして、肩越しに画面を覗かれる「ショルダーハッキング」と、Wi-Fi盗聴がセットで使われることがあります。たとえば、後ろの席の人が画面でログインIDを確認し、Wi-Fi経由でパスワードを盗む、という組み合わせです。
帰り際に「自動接続を覚えたまま」になる
これは見落とされやすいのですが、一度カフェのWi-Fiに繋ぐと、デバイスはそのSSIDを記憶し続けます。次回そのカフェに行ったときに自動で繋がるのは便利ですが、別の場所で同じSSID名の偽APに自動接続される という事故が起きます。チェーン店だと全国どこにでも同じSSIDがあるので、なおさら気づきにくいです。
カフェのフリーWi-Fi登録メアドにも別のリスクがある
意外と見落とされがちなのが、フリーWi-Fiに繋ぐ前段の 「メールアドレス登録」「SNS連携ログイン」 の入口です。一部のチェーン店では、初回接続時にメールアドレスや会員情報の入力を求めてきます。これは技術的には盗聴とは別レイヤーの話ですが、登録メールが後日マーケティングリストに横流しされて、フィッシングメールの宛先になる、というルートは現実に存在します。
編集部では、検証用の捨てメアドをカフェWi-Fi登録に使ったところ、半年後に「Amazonセキュリティ警告」を装った詐欺メールが届きはじめた経験があります。Wi-Fiそのものは無料でも、対価として個人情報を払っている、という構造は意識しておきたいところ。捨てメアドや、Apple/Googleの「メールを非公開」機能で生成した転送アドレスを充てる運用が現実的です。
まずは「VPN常時ON」が最強のシングル対策
ホテルWi-Fiでも同じ結論なのですが、カフェWi-Fi対策の本筋は VPNを常時ONにして、自動接続させる ことです。VPNが入っていると、カフェの店内LANを抜けた瞬間から自分のスマホ/PCまでの通信は暗号化されたトンネルを通るので、隣の席の誰かが盗聴を試みても、内容は読み取れません。
「使うときだけON」だと、ONにし忘れた数十秒で被害につながりうるので、自動化が大事です(「使うときだけON」では守れない理由も参照)。VPNアプリの設定に「自動接続」「常時ON」「On-Demand」のような項目があるので、最初に1回設定しておけば以降は意識せずに守られます。
ノートPCの場合は「キルスイッチ」も合わせて有効に
PCで作業する人は、VPN常時ONに加えて キルスイッチ機能 を有効にしておくと安心です。これは「VPNが何らかの理由で切れたら、その瞬間にすべての通信を遮断する」機能で、トンネルが落ちた瞬間に素のカフェWi-Fiに通信が流れてしまうのを防げます。
NordVPN、ExpressVPN、Surfshark、ProtonVPN など主要VPNは基本的に対応しています。設定画面で「Kill Switch」「キルスイッチ」「ネットワークロック」のような名前で探せます。
コワーキング・図書館・空港ラウンジのWi-Fiは、カフェよりマシか?
「同じフリーWi-Fiでも、コワーキングスペースや図書館、空港ラウンジなら少しは安心では?」という質問もよくもらいます。正直なところ、技術的なリスク構造はカフェWi-Fiとほぼ同じ、というのが編集部の見解です。
コワーキングスペースは会員制で利用者が絞られているぶん、なりすましAPを立てる動機は薄くなりますが、同じLANに見ず知らずのフリーランス同士が同居している状況に変わりはありません。図書館のWi-Fiも、不特定多数が入れ替わり立ち替わり使う点でカフェと変わらず、むしろ滞在時間が長いぶん通信量が多くなり、盗聴された場合の被害範囲は広がりやすい。空港ラウンジは「VIPっぽい雰囲気」で油断しがちですが、海外発の偽SSIDが立ちやすいエリアで、ホテルWi-Fi同様の警戒が必要です(ホテルWi-Fiも同じ危険性がある)。
とはいえ、結局のところ対策はカフェWi-Fiと同じで、 VPN常時ON+キルスイッチ にしておけば、どの環境でも同じ防御線を維持できます。場所ごとに対策を変える必要がない、というのがVPNを入れておく最大のメリットです。
学生・フリーランス・会社員、それぞれのVPN選びの実感
カフェWi-Fi利用者の層によって、VPNに求めるものが少しずつ違ってきます。編集部で読者の相談を受けてきた肌感覚を整理しておきます。
学生 は予算が最優先で、月額500円前後で速度が出るVPNを長期契約で押さえるのが現実的です。論文検索やレポート資料の閲覧が中心なら、過剰なスペックは不要で、サーバー数より「ちゃんと繋がる」安定性のほうが効きます。一方で フリーランス は、クライアントとのチャットや原稿の納品で常時オンライン状態が長いため、キルスイッチと自動接続が確実に効くアプリを選ぶ価値が高め。 会社員 が個人で契約する場合は、出張時のホテルWi-Fi対策と兼用になるので、海外サーバーの数と接続速度を見るのが現実的です(VPNの速度比較)。
3者に共通するのは、 無料VPNで済ませない という前提だけ。月数百円の差は、年間で考えても数千円で、カフェ作業のたびに心配する時間を買うコストとしては安いほうです。
VPN以外で、コーヒー1杯ぶんの時間でできること
VPNが本命なのは前提として、それ以外にも積み重ねると効く対策をいくつか紹介します。
「Free WiFi」より「店名+WiFi」のほうがマシ、という肌感覚
Free_WiFi のような汎用名のSSIDより、Starbucks_xxxx、Doutor_xxxx、Lawson_Wi-Fi のように店名がついたSSIDのほうが、運営主体がはっきりしている分まだ信頼できます。完全に安全という意味ではありませんが、なりすましのハードルは少し上がります。
ただし、これも偽APが店名を真似ることがあるので、 本物のSSIDをレシートやメニューの記載と一致確認 するのが理想です。
「このネットワークを記憶しない」を毎回オンにする
iPhone / Android とも、Wi-Fi詳細から「自動接続をオフ」「このネットワークを記憶しない」を選べます。これをやっておくと、次回その店の近くに行ったときに勝手に再接続されません。チェーン店のSSIDは全国共通なので、ここをオフにしておく価値は大きいです。
重要な操作(ネットバンキング・送金)はモバイル回線で
カフェWi-Fiの上でVPNを使っていても、心理的な安心感としては、ネットバンキングの送金や、会社のシステムへの管理者ログインのような失敗できない操作は、テザリングや自分のモバイル回線で実行する習慣にしておくと心臓に優しいです。
画面プライバシーフィルターは1回入れれば年単位で効く
カフェでよく作業する人は、ノートPCに プライバシーフィルター を貼っておくと、肩越しに画面を見られるリスクを大幅に減らせます。3,000〜6,000円程度の投資で長く効くので、出張やカフェ作業が多い人ほどコスパは高いです。
テザリングをカフェWi-Fi代わりにするのは安全?コスト面はどうか
「そもそもカフェWi-Fiを使わず、スマホのテザリングだけで作業すれば安全じゃないか」という考え方もあります。これは技術的には正解に近くて、自分のSIM経由の通信はキャリア網で暗号化されているため、隣の席から盗聴される心配はまずありません。先日、編集部メンバーがスターバックスで2時間ほど原稿作業をテザリングだけで完結させたとき、消費したのは約1.2GBでした。
ただ、毎日カフェで2〜3時間使うとなると、月20〜30GB前後の消費になり、20GBプランでは足りなくなるケースが出てきます。コスト面で見ると、月3,000円のギガ増量よりも、月500〜700円のVPN契約+既存プランのほうが安く済むことが多い です。テザリングは「重要操作のときだけ切り替える保険」として残しておき、普段はVPN経由のカフェWi-Fiという使い分けが現実的です。
なお、テザリングを使う場合もVPNはオンのままで構いません。キャリア網の上でさらに暗号化が乗るだけなので、デメリットは速度がわずかに落ちる程度です。
「カフェWi-Fiは禁止」で済まない人へ
「会社からはフリーWi-Fi禁止と言われているんだけど、現実問題、ノマド前提だと無理」――というのも、編集部によく届く相談です。
ここに関しては、編集部の立場としては「禁止ではなく、VPN常時ON+キルスイッチを前提にすれば、リスクは現実的に許容可能なレベルに落とせる」と考えています。会社支給のVPN(社内VPN)があるなら最優先でそれを使い、なければ個人で月数百円〜の有料VPNを契約しておくのが、いちばん柔軟な解です(参考:VPNの選び方5つのポイント)。
無料VPNはこの用途には向きません。サーバーが混んでいて速度が出ないだけでなく、運営者が通信を解析して広告主に売っているケースが知られているため、カフェ通信を守りたい目的とむしろ逆向きです(無料VPNは危険?)。
出かける前と店内での、現実的なチェックリスト
最後に、編集部が日々のカフェ作業で意識している実用ルーティンを並べておきます。
- 出かける前にVPNが起動済みかを画面で確認(ONにする手間を店内で発生させない)
- VPNアプリの「自動接続」「常時ON」「キルスイッチ」がすべて有効か再点検(出発前にやれば年単位で効く)
- 店内で接続するSSIDは、店内表示・レシート・公式アプリで名前を確認
- 画面とキーボードを後ろから覗かれない席を選ぶ/プライバシーフィルターをつける
- 店を出たら「このネットワークを記憶しない」を確認(自動接続を残さない)
慣れれば30秒で終わります。年間でいうと、カフェWi-Fi由来の被害確率を実用的にゼロに近づけられる、コスパのいい習慣だと思います。
カフェWi-Fiを安全に使うためのチェックリスト 所要時間の目安:約3分(毎回)
-
1
出発前にVPNが起動済みであることを画面で確認
店内でONを思い出す運用はNG。家を出る時点で接続済み・自動接続が有効なことを確認します。
-
2
VPNアプリのキルスイッチを有効化(初回のみ)
「Kill Switch」「ネットワークロック」などの名称で各VPNに用意されています。一度ONにしておけば以降は自動で効きます。
-
3
店内で接続するSSIDをレシート/公式表示で確認
「Free_WiFi」のような汎用名より、店名付きで本物が確認できるSSIDを選びます。
-
4
画面が見えにくい席を選ぶ/プライバシーフィルターを使う
Wi-Fi盗聴とショルダーハッキングを同時に防ぐ意味で、物理的な視線対策も重要です。
-
5
店を出る前に「このネットワークを記憶しない」を選ぶ
Wi-Fi自動接続を残さないことで、別の街での偽AP接続事故を予防します。
よくある質問
- Q 店名つきのSSID(StarbucksやDoutorなど)なら安心ですか? ▼
- Q VPNとキルスイッチは両方必要ですか? ▼
- Q 無料VPNで代用してもいいですか? ▼
- Q iPhoneとAndroidで、Wi-Fi自動接続を切る手順は違いますか? ▼
- Q ノマド作業の頻度が低い場合でもVPNを入れる価値はありますか? ▼