🌐 VPN選び.jp

ホテルのWi-Fiのリスクと対策――出張・旅行で安心して使うために

ホテルの備え付けWi-Fiは、宿泊客全員でパスワードを共有する構造ゆえに自宅Wi-Fiより危険です。偽アクセスポイントや盗聴の実例、VPN常時ONを軸にした出張・旅行用の実用ルーティンを編集部がまとめます。

監修: VPN選び.jp 編集部

出張や旅行先のホテルでとりあえず備え付けのWi-Fiにつないでメールを確認する――誰もがやっていることだと思います。けれども、その「とりあえず」が、自宅やオフィスのネットワークよりずっと無防備な状態に置かれているという話は、なかなか実感が湧きにくいものです。

ホテルWi-Fiの怖さは、危険度の高さよりも「危険なのに普通に見える」という点にあります。フロントで聞いたパスワード、ロビーに貼られたSSID、客室のテレビ画面に出てくる接続情報――どれも公式の体裁で出てくるので、利用者から見ると「ちゃんとしたWi-Fi」に見えてしまう。そして、ここを狙う攻撃側もそれを分かったうえで仕掛けてきます。

この記事では、ホテルWi-Fiに特有のリスクを4つに整理したうえで、出張・旅行のたびにやっておくと安心な実用的な対策をまとめます。

ホテルWi-Fiが「自宅のWi-Fi」より危険な4つの理由

同じパスワードを宿泊客全員で共有している

ホテルのWi-Fiの大半は、宿泊客に同じパスワードを配っています。フロントで「今週のWi-Fiパスは hotel2026 です」と教えてくれるあのパスワードです。これは便宜上仕方ないのですが、結果として、同じネットワークに入っている宿泊客同士は 論理的に「同じ部屋」のような距離感 で通信していることになります。隣のフロアの誰かが、悪意のある操作で同じネットワーク内を覗き見しようとすれば、技術的に難しい話ではなくなります。

偽アクセスポイントが立ちやすい環境

ホテル名に似たSSID──たとえば本物が Hotel-Free-WiFi のところに Hotel_Free_WiFi_GuestHotel-WiFi-2 のような名前で偽アクセスポイントを立てる手口があります。技術的にはWi-Fiルーターと同等の機器が1台あればいいので、ロビーや廊下の隅に小型機材を置くだけで仕掛けられます。利用者は、表示された名前を「正しい」と思ったほうに繋ぎがちです。

暗号化されていない、または弱い暗号化のホテルがいまだに多い

宿泊予約のたびに気にする人は少ないと思いますが、Wi-Fi接続時に 「セキュリティなし」「WEP」 と表示される接続が、いまも国内外のホテルで普通に見つかります。WPA2/WPA3でもパスワードを共有している以上は完全には安心できないのですが、暗号化なし/WEPだと、もはや通信そのものが平文同然です。

接続後に表示される「ログインページ」自体が偽の場合がある

これは少しレベルが上の手口ですが、ホテルWi-Fiに接続すると最初に出てくる「ようこそ、ご利用にはお部屋番号とお名前を入力してください」のようなログインページ自体を偽装することがあります。ホテルが本当に部屋番号認証を求めていることもあるので、利用者にとっては区別がつきません。入力した情報がそのままどこかへ送られている、という事故が起きえます。

海外ホテルの場合に特有の注意点

国内のビジネスホテルと、海外の同価格帯ホテルでは、Wi-Fi周りの事情がだいぶ違います。地域差をざっくり押さえておくと、現地で迷いにくくなります。

中国の主要都市のホテルでは、Wi-Fi自体は速く快適なことも多いのですが、GoogleやLINE、X(旧Twitter)など日常的に使うサービスがそのままでは開けません。出張のたびに「会社のGmailにアクセスできない」と慌てる人が多いのもこの地域です。事前にVPNを契約・接続テストまで済ませておくのが前提になります(中国でVPNが使えるサービス)。

東南アジア(タイ・ベトナム・インドネシア)では、安価な宿ほどWi-Fi機器が古く、暗号化なし/WEPのまま運用されている部屋がいまだに残っています。先日、編集部スタッフがハノイの3つ星ホテルに泊まった際、客室Wi-Fiがまさかの暗号化なしで、フロントに確認してもそもそも仕組みを理解されていない、という場面に遭遇しました。

米国チェーン(マリオット、ヒルトンなど)は、ロイヤリティ会員向けに専用Wi-Fiを用意していることが多く、そちらのほうがゲスト用より分離されていて安全な傾向にあります。チェックイン時に「メンバー専用Wi-Fiはありますか」と一言聞くだけで違います。

実際に起きる被害のイメージ

「リスクがある」と書かれてもピンとこないので、よくある被害をいくつか想定してみます。

メール、SNS、ネットバンキング、会社のVPN――これらにログインすると、ID/パスワードと、その後の通信内容が、暗号化されていない経路を流れます。狙う側は、特定の個人を狙うというより、空港・大型ホテルなど人の集まる場所のWi-Fiでパケットをひたすら拾い、そこからログインに使えそうな情報を機械的に拾います。

被害が表面化するのは数日後、数週間後ということもあります。「使った覚えのないオンラインショッピングの履歴がある」「会社のSlackに知らないIPからのログインがある」――こうしたかたちでようやく気づくケースが多いです。

ビジネスホテル・高級ホテル・民泊で何が違うのか

宿泊形態ごとにWi-Fi周りのリスク構造が違うので、自分が普段どこに泊まることが多いか、で警戒度の重み付けを変えると効率的です。

ビジネスホテルは、全国チェーン(東横イン、ルートインなど)であれば、ネットワーク機器は本部が一括契約していて、それなりに統一されたWi-Fi環境が提供されています。ただ宿泊客の入れ替わりが激しく、同時接続数が数百人規模になることもあるため、「同じネットワークに他人が大量にいる」状態の典型例にあたります。

高級ホテルは、機器こそしっかりしていますが、接続する人数の母数が変わらない以上、根本的なリスクは下がらない という点に注意が必要です。「高いホテルだからWi-Fiも安全だろう」という思い込みは、むしろ警戒が緩む分だけ危険ともいえます。

民泊・Airbnbはもっと厄介で、ルーターを管理しているのがホストの個人で、設定状況がブラックボックスです。前の宿泊者が悪意のあるソフトを仕込んでいた、というケースも報告例があります。民泊では、可能であればWi-Fiを使わずモバイル回線中心に切り替えるくらいの慎重さがあってよいと、編集部は考えています(カフェWi-Fiも同様に注意)。

まずやるべき対策:VPNを「自動接続」状態にしておく

結論を先に書いてしまうと、ホテルWi-Fi対策の本命は VPNを使う、しかも常時ON設定にしておく ことです。VPNを入れていても「ON忘れ」の数十秒で被害につながりうるので、ON/OFFの判断を人間に任せず、自動化するのが安全側です(詳しくは「使うときだけON」では守れない理由)。

VPNを通すと、ホテルWi-Fiルーターから先のすべての通信が暗号化されたトンネルを通るので、たとえ同じWi-Fiに偽AP・盗聴者がいても、内容は読み取れません。設定はアプリを入れて接続を押すだけです(VPNの設定方法)。

補強としてやっておきたい3つの追加対策

VPN以外にもう3つ、出張前に1回設定しておけば長く効く対策があります。

ひとつめは 「このネットワークを自動で記憶しない」設定。iPhone/Androidとも、Wi-Fi接続後の詳細設定から「自動接続をオフ」「このネットワークを記憶しない」を選べます。チェックアウト後にホテル名のSSIDを覚えたままだと、別の街で似た名前のWi-Fiに自動接続される事故が起きえます。

ふたつめは OSとアプリのアップデートを出張前に済ませる。出張先の不安定なWi-Fiで巨大なアップデートを当てると、途中で切れて中途半端な状態になることがあります。事前に最新化しておけば、現地ではセキュリティパッチの当たった状態でスタートできます。

みっつめは 重要操作はモバイル回線で。海外ローミングが高くて使えない場面でも、ネットバンキング送金や会社のシステムへの管理者ログインのような「失敗できない操作」は、可能なら現地のSIM/eSIMの通信か、テザリングしてしまうのが安全です。VPN+ホテルWi-Fiでも理論的には十分守られるのですが、心理的な安心感は1段違います。

「ホテルのWi-FiはWPA2だから安全」は通用しない

ここは誤解されがちな点なので、もう少し補足しておきます。

WPA2/WPA3で暗号化されていても、パスワードを共有している以上、同じネットワーク内の通信は他の宿泊客から「見えうる」状態 です。家庭用Wi-Fiが安全なのは、パスワードを知っているのが家族数人だけだからです。ホテルWi-Fiは数百人〜数千人がパスワードを知っている、いわば「鍵を全員が同じ場所に持っている部屋」のような構造です。

なので、ホテルWi-Fiの選び方として「暗号化されているから安心」とは判断できず、結局のところ 自分側でもう一段暗号化(=VPN)をかけるしかない という結論になります。

編集部に届いた相談3例(仮名・職業のみ)

抽象論だけだとイメージが湧きにくいので、過去に編集部に届いた相談のうち、典型的だったものを3つだけ紹介します。固有名詞はすべて変えてあります。

ひとつめは40代の営業職、佐藤さん(仮名)のケース。地方出張のビジネスホテルでメールチェックをした数日後、会社のSlackに身に覚えのないシンガポールIPからのログイン通知が届いた、というもの。社内システムへの侵入未遂で被害は出ませんでしたが、それ以来、出張中はVPN常時ON+会社支給SIMのテザリング併用に切り替えたそうです。

ふたつめは30代のフリーランス、田中さん(仮名)。海外ノマド先のホテルWi-Fiで作業中、知らないうちにブラウザに偽のサインインページが差し込まれ、SaaSのパスワードを抜かれた事例。気づいたきっかけは「契約していないクラウドストレージの請求が来たこと」だったそうで、復旧に2週間かかったとのこと。

みっつめは50代の会社役員、鈴木さん(仮名)。家族旅行で泊まったリゾートホテルのWi-Fiでネットバンキングにログインしたところ、翌月数十万円の不正送金が発生。銀行の補償でなんとかなったものの、警察対応・通帳停止などで丸2日潰れたとのことでした。

3例とも共通しているのは、「いつものクセでホテルWi-Fiに繋いだ」という点だけです。出張頻度が高い人ほど、慣れが油断につながりやすい構造があります(VPNが遅いと感じるときの対処も参考に)。

チェックインからチェックアウトまでの実用ルーティン

最後に、出張・旅行のときに編集部が推奨している実用ルーティンを並べておきます。

  1. チェックイン前の電車・新幹線でVPNが起動済みか確認する(着いてから慌てない)
  2. 客室に入ったらWi-Fi接続前にスマホ画面でVPNがONになっていることを再確認
  3. 接続するSSIDをフロントで紙のメモか公式表示で確認(口頭で「Free Wi-Fi のほうです」と言われて似た名前を選ぶのは危険)
  4. 接続後にVPNのアイコンが緑(ON)になっているか目視(自動接続が成功していないとつながらない)
  5. チェックアウト時に、Wi-Fi設定からそのホテルのネットワーク情報を削除(自動接続を残さない)

これは慣れれば30秒もかからないのですが、最初の2〜3回だけは意識的にやってみると、習慣として定着します。海外出張・旅行が多い人は、年間で見るとかなりのリスクを下げられるので、ぜひ取り入れてみてください。

それでもVPNを入れたくない場合の最低限ライン

「契約まではちょっと…」という方向けに、VPNなしで取れる最低限の防御を3つだけ。

  • HTTPS(鍵マーク)でない接続は避ける。とくにログイン画面はHTTPS必須。
  • ネットバンキング・ECサイトの決済はホテルWi-Fiでやらず、モバイル回線で。
  • 「このネットワークを記憶」をオフ、チェックアウト後は削除。

これでもゼロにはなりませんが、もっとも被害が大きい「ログイン情報の漏洩」と「次の街での偽AP自動接続」の2点は減らせます。とはいえ、月数百円から始められる有料VPN1本で全部解決するので、出張頻度が高いなら導入するほうが時間的にも費用的にも安いと、編集部としてはおすすめしています(参考:無料VPNは危険? VPNの選び方5つのポイント)。

ホテルWi-Fiを安全に使うためのチェックイン〜チェックアウト・ルーティン 所要時間の目安:約5分(毎回)

  1. 1
    移動中にVPNが起動しているかを確認する

    新幹線・空港の段階でVPNがONになっていることを画面で確認しておきます。着いてから慌てない。

  2. 2
    客室のWi-Fiに繋ぐ前にVPN ONを再確認

    ステータスバーやVPNアプリで接続が緑(Connected)になっているか目視します。

  3. 3
    フロント/公式表示でSSIDを確認し、似た名前の偽APを避ける

    口頭で「Free Wi-Fiです」と言われても、提示された正確なSSID名と一致するもののみ選択します。

  4. 4
    重要な操作(送金・管理者ログイン)はモバイル回線で

    VPN+ホテルWi-Fiでも理屈上は安全ですが、失敗できない操作はeSIMやテザリングのモバイル経路に切り替えます。

  5. 5
    チェックアウト時にホテルのSSIDを「このネットワークを削除」

    Wi-Fi記憶を残すと、別の街で似た名前のSSIDに自動接続される事故が起きえます。毎回削除を習慣に。

よくある質問

Q WPA2/WPA3で暗号化されているホテルWi-Fiなら安全ですか?
Q ホテルが提示するWi-Fiパスワードならどこから盗まれるんですか?
Q モバイル回線(ローミング・eSIM)があればVPNは不要ですか?
Q 海外のホテルでVPNが繋がりません。どうすればいいですか?
Q 出張用にVPNを選ぶ基準は?

あなたに合ったVPNを、3分で診断

VPN選びに、もう迷わない。「何に使いたいか」を選ぶだけ。登録不要・無料。

▶ 無料で診断をはじめる

登録不要・無料 / 4〜6問えらぶだけ