- 「無料VPNって危ないって聞くけど、実際どれだけ危ないの?」——本当に怖い話をします
- そもそもなぜ無料VPNが危ないのか:ビジネスモデルの問題
- 【事件①】911 S5ボットネット事件(2024年・FBI解体)——史上最大規模の無料VPN悪用事件
- 【事件②】SuperVPN・UFO VPN等7社同時データ流出事件(2020年)——2,000万人の記録がノーパスワードで公開
- 【事件③】Hola VPN帯域幅転売事件——5,000万ユーザーの回線が犯罪に転用された
- 【事件④】HotSpot Shield FTC制裁事件(2017年)——「匿名保護」を謳いながらデータを広告会社に販売
- 【事件⑤】UFO VPN中国政府連携疑惑(2020年)——ユーザーの通信が2,000万人分、継続的に監視されていた
- 研究データが示す無料VPNの実態:38%にマルウェア含有
- 「でも、有名なアプリなら大丈夫では?」への答え
- 「無料で安全なVPN」は存在するか——正直な答え
- 安全なVPNを選ぶ3つの基準
- 信頼できる有料VPN 3選【事件から学んだ選定基準で選定】
- まとめ:「無料VPN」は安全どころか危険のもと
「無料VPNって危ないって聞くけど、実際どれだけ危ないの?」——本当に怖い話をします
「VPNを使うとプライバシーが守られる」「通信が暗号化されて安全になる」——そのイメージ通り、信頼できる有料VPNは確かに安全性を高めてくれます。でも、無料のVPNアプリはどうでしょうか。
「無料でもVPNが使えるなら、それで十分じゃないの?」と思う方も多いはずです。しかし実際には、無料VPNを使うことで情報漏洩どころか、知らないうちに犯罪に加担させられていたという事件が、世界規模で複数起きています。
これは「かもしれない」という推測ではありません。FBIが解体した実在の犯罪組織の話です。Googleが強制削除したアプリの話です。規制当局が処罰した事業者の話です。
この記事では、「無料VPN 情報漏洩」に関する実際の事件・事例を5つ取り上げ、何が起きたのか・なぜ起きたのかを詳しく解説します。「無料VPNが危険」という言葉の意味を、具体的な事実で理解してほしいと思います。
そもそもなぜ無料VPNが危ないのか:ビジネスモデルの問題
具体的な事件に入る前に、なぜ無料VPNが危険な構造を持ちやすいのかを理解しておきましょう。
VPNサービスを運営するには、世界各地にサーバーを設置・維持するコストが継続的にかかります。そのコストは、有料サービスであればユーザーからの月額料金で賄えます。では、無料のVPNは何で収益を得ているのでしょうか。
主なパターンは3つです。
| 収益化パターン | 内容 | ユーザーへのリスク |
|---|---|---|
| ①広告表示 | アプリ内・ブラウザ上に広告を表示して広告収入を得る | △ 煩わしいが比較的低リスク |
| ②ユーザーデータの販売 | ユーザーの通信履歴・IPアドレス・閲覧サイトなどを広告会社やデータブローカーに販売 | ✕ 高リスク |
| ③帯域幅・デバイスの転売 | ユーザーのネット回線やデバイスを他者に貸し出して利益を得る | ✕ 最高リスク(犯罪への加担) |
問題はパターン②と③です。②は「ノーログポリシー(通信記録を保存しない)」を謳いながら実際にはデータを記録・販売している事業者が存在します。③に至っては、ユーザーのデバイスがサイバー犯罪者に売られた踏み台として利用されていたという事件が実際に起きています。
VPNの管理者は、ユーザーのすべての通信データを技術的に見ることができます。「信頼できる管理者が運営しているか」が、VPNの安全性のすべてと言っても過言ではありません。
【事件①】911 S5ボットネット事件(2024年・FBI解体)——史上最大規模の無料VPN悪用事件
何が起きたのか
2024年5月、FBI(米国連邦捜査局)は「911 S5」と呼ばれるボットネット(マルウェアに感染したデバイスの集合体)を解体し、主犯格の中国籍男性(35歳)をシンガポールで逮捕したと発表しました。
このボットネットは、190か国以上・1,900万以上の固有IPアドレスに及ぶ史上最大規模のもの。そしてその感染経路は、無料のVPNアプリでした。
主犯らが配布した無料VPNアプリは「MaskVPN」「DewVPN」「PaladinVPN」「ProxyGate」「ShieldVPN」「ShineVPN」の6つ。ユーザーは「VPNで安全にネットを使える」と信じてインストールしましたが、実際にはアプリにマルウェアが仕込まれており、インストールした瞬間からデバイスが犯罪者のボットネットに組み込まれていました。
ユーザーに何が起きたか
ユーザーのデバイスはボットネットの「踏み台」として使われ、以下の犯罪行為に加担させられていました。
- 金融詐欺(米国のコロナ禍給付金プログラムから約59億ドルもの不正詐取)
- 個人情報窃取・身元詐称
- 児童搾取コンテンツの配布
- サイバー攻撃・爆破予告の送信
ユーザー自身は何も悪いことをしていないのに、自分のデバイスが知らないうちにこれらの犯罪の「発信源」として使われていたのです。主犯はこのIPアドレスのアクセス権をサイバー犯罪者に販売し、約1億ドル(約150億円)を稼いでいたとされています。
なぜ発覚が遅れたのか
このボットネットは2014年から運用が始まり、2022年に一度閉鎖されたものの2023年に「Cloudrouter」として復活。FBIが解体した2024年5月まで、10年近くにわたって稼働し続けていました。無料VPNアプリはユーザーに正常に機能しているように見えるため、ユーザー側からは被害を気づきにくかったのです。
⚠️ 重要:FBIはユーザーに対し、これらのVPNアプリをアンインストールしてシステムのマルウェアスキャンを実施するよう公式に警告しました。
【事件②】SuperVPN・UFO VPN等7社同時データ流出事件(2020年)——2,000万人の記録がノーパスワードで公開
何が起きたのか
2020年、7つの無料VPNサービス(UFO VPN・FAST VPN・Free VPN・Super VPN・Flash VPN・Secure VPN・Rabbit VPN)のデータベースが、パスワードなしでインターネット上に丸ごと公開された状態になっていることが発覚しました。
流出したデータには以下が含まれます。
- ユーザーのIPアドレス(接続元・接続先両方)
- 平文(暗号化なし)のパスワード
- VPNセッショントークン
- 接続タイムスタンプ(いつどこに接続したかの記録)
- 広告注入用ドメイン情報
影響を受けたユーザーは約2,000万人。これら7つのサービスはすべて「厳格なノーログポリシー」を謳っていましたが、実際にはすべての接続ログを記録していたことが、この流出によって証明されました。
さらに深刻だった事実
調査によって、この7つのサービスは実はすべて同一のバックエンド(香港拠点のホワイトラベル事業者)を利用していたことが判明しました。「複数の異なるサービス」のように見えて、実態は一つの組織が運営する別ブランド群だったのです。
「このVPNがダメならあのVPNに変えよう」という行動が無意味になる典型例です。
2023年の続報:SuperVPNが3億6,000万件流出
同じSuperVPNは2023年にも再び問題を起こしています。今度はGoogle Playで1億回以上ダウンロードされたバージョンが3億6,000万件以上のユーザーレコードを流出。メールアドレス・VPN接続履歴・デバイス情報が含まれており、ノーログポリシーの主張は完全に崩れました。この流出を受けてGoogleはアプリを削除しています。
【事件③】Hola VPN帯域幅転売事件——5,000万ユーザーの回線が犯罪に転用された
何が起きたのか
無料VPN「Hola」は一時期5,000万人以上のユーザーを持つ大規模サービスでした。しかしこのサービスは、ユーザーの帯域幅(インターネット回線の通信容量)を姉妹会社「Luminati」を通じて1GBあたり約20ドルで販売していたことが発覚しました。
ユーザーは「VPNを使って匿名でネットを楽しめる」と思っていましたが、実際には自分が「プロキシサーバー」になっており、他の人物(有料顧客)のトラフィックが自分のIPアドレスを経由して流れていたのです。
犯罪への加担が発覚したきっかけ
この問題が広く知られるようになったのは、Hola/Luminatiのインフラが「8chan(掲示板サイト)へのDDoS攻撃」に使われたことが判明したためです。攻撃のトラフィックがHolaユーザーのIPから発信されており、ユーザーは知らないうちにサイバー攻撃の加害者として記録されていました。
ユーザーは「プライバシーを守るためにVPNを使っていた」のに、実際には自分のIPアドレスが犯罪行為のルートとして使われていたという、完全な逆効果になっていたわけです。
【事件④】HotSpot Shield FTC制裁事件(2017年)——「匿名保護」を謳いながらデータを広告会社に販売
何が起きたのか
2017年、米国連邦取引委員会(FTC)は無料VPNサービス「HotSpot Shield」に対して調査・制裁措置を開始しました。このサービスは「ユーザーの匿名性を保護する」と大々的に宣伝していましたが、実際にはユーザーのデータを広告会社に販売していたことが判明しました。
具体的には、ユーザーがどのサイトを閲覧したか・どの広告をクリックしたかなどの行動データが、ユーザーへの告知なしに第三者に提供されていました。
プライバシー保護を目的にVPNを使ったら、そのVPN自体がプライバシーの侵害者だった——という構造です。VPNサービスの「プライバシーを守る」という宣伝文句が、いかに信頼できないかを示す典型的な事例です。
【事件⑤】UFO VPN中国政府連携疑惑(2020年)——ユーザーの通信が2,000万人分、継続的に監視されていた
何が起きたのか
2020年に発覚したUFO VPNの問題は、データ流出にとどまらない深刻な内容でした。調査によって、UFO VPNが実際には中国政府と連携し、ユーザーの通信を継続的に監視・記録するインフラとして機能していた疑いが浮上したのです。
約2,000万人のユーザーの通信データが継続的に記録されており、流出したログには接続先のサイト・IPアドレス・デバイス情報などが含まれていました。「インターネットの監視から身を守るためにVPNを使った」ユーザーが、そのVPN自体によって監視されていたという、深刻な皮肉な事態です。
「ノーログポリシー」を謳いながらログを残し、そのログが適切に保護されることもなかった——UFO VPNの事件は無料VPNの問題点を最も凝縮した形で示しています。
研究データが示す無料VPNの実態:38%にマルウェア含有
上記の事件は「特殊なケース」ではありません。学術研究もその深刻さを裏付けています。
オーストラリアのCSIRO(連邦科学産業研究機構)が行った研究では、Android向け無料VPNアプリの38%にマルウェアが含まれていたことが明らかになりました。また、セキュリティ研究者の調査では無料VPNアプリの88%にDNS漏洩やIPv6漏洩が存在することが確認されています。
DNSリーク・IPv6リークは、VPNを使っていても実際のIPアドレスや通信内容が外部に漏れる現象です。つまり多くの無料VPNは「使っても保護されていない」のと同じ状態です。
| 調査結果 | 数値 |
|---|---|
| 無料VPNアプリ中、マルウェアが含まれるもの(CSIRO研究) | 38% |
| DNS漏洩・IP漏洩が確認された無料VPNアプリの割合 | 88% |
| 暗号化なし、またはPPTP(解読済みプロトコル)を使用する無料VPN | 多数確認 |
「でも、有名なアプリなら大丈夫では?」への答え
「App StoreやGoogle Playにある有名アプリなら信頼できるのでは?」という反論があります。しかし上述の事件が示す通り、これは通用しません。
SuperVPNはGoogle Playで1億回以上ダウンロードされていたにもかかわらず、マルウェアの温床としてバックドアが仕込まれていました。Hola VPNは5,000万ユーザーを持つ大規模サービスでしたが帯域幅の転売が行われていました。
ダウンロード数・評価の高さ・「ノーログポリシー」の宣伝——これらはすべて、安全性の保証にはなりません。
本当の安全性を担保するものは以下の3点です。
- 第三者機関による独立監査の実施と公開(PwC・KPMGなど)
- 透明性レポートの定期的な公開
- 信頼できる国・地域での法人登記と明確な運営主体
無料VPNがこれらすべてを満たすことはほとんどありません。コストをかけずにサービスを提供しながら、さらにコストをかけた監査まで実施するビジネスモデルは成立しないからです。
「無料で安全なVPN」は存在するか——正直な答え
「完全に安全な無料VPN」は事実上存在しないと考えるのが現実的です。ただし、大手有料VPNが「お試し」として提供している無料枠は別の話です。NordVPN・Surfshark・ExpressVPNなどの主要サービスは、有料サービスの一部を無料で試せる期間・機能制限付きプランを設けていることがあります。これらは同じセキュリティ基準の上で動いており、完全無料の怪しいVPNとは根本的に異なります。
また、30日間の返金保証を活用することで実質的に無料で試すことも可能です。
安全なVPNを選ぶ3つの基準
事件の教訓から導き出される、安全なVPN選びの基準をまとめます。
基準①:独立した第三者機関による監査済みであること
「ノーログポリシー」を自己申告するのは誰でもできます。PwC・KPMG・Cure53などの独立機関が実際にサーバーとコードを検証した監査報告書が公開されているサービスを選んでください。
基準②:明確な運営企業・所在地が確認できること
匿名の開発者や、会社の実態が不明なサービスは論外です。正式に登記された企業が運営し、連絡先・プライバシーポリシーが明確なサービスを選びましょう。
基準③:返金保証があること
30日間の返金保証があれば、「試してみて合わなければ全額返金」という選択が可能です。信頼性の高い有料VPNは例外なくこれを提供しています。逆に返金保証がないサービスは注意が必要です。
信頼できる有料VPN 3選【事件から学んだ選定基準で選定】
NordVPN——独立監査済み・ノーログが法廷で証明済み
NordVPNは独立機関による監査を複数回受けており、ノーログポリシーが第三者によって確認されています。さらに法執行機関から過去にユーザーデータの提出を求められた際にも「記録が存在しないため提供不可」と回答した実績があり、ノーログが実際に機能していることが法廷でも証明されています。
暗号化はAES-256ビット、独自プロトコル「NordLynx」で速度と安全性を両立。111か国に6,800台以上のサーバーを持ち、1アカウントで最大10台まで同時接続できます。
NordVPN[公式サイト]
Surfshark——独立監査済み・同時接続台数無制限
SurfsharkもCure53による独立監査を受けており、ノーログポリシーの信頼性が確認されています。特筆すべきは同時接続台数が無制限という点。スマホ・PC・タブレット何台にインストールしても追加料金ゼロです。
「CleanWeb」機能で広告・マルウェア・フィッシングサイトを自動ブロック。無料VPNのマルウェアリスクへの対策として有効な機能です。長期プランなら月額300円台という業界最安クラスのコスパも魅力です。
SurfShark[公式サイト]
ExpressVPN——TrustedServer技術でデータが物理的に残らない
ExpressVPNは独自の「TrustedServer」技術を採用しており、全サーバーがRAMメモリのみで動作します。サーバーを再起動するたびにすべてのデータが完全に消去されるため、仮にサーバーが押収されても通信ログが物理的に存在しません。
PwC・KPMGによるノーログ監査済み。独自プロトコル「Lightway」で高速通信を実現し、日本語サポートも充実しています。
ExpressVPN[公式サイト]
まとめ:「無料VPN」は安全どころか危険のもと
この記事で紹介した事件を振り返ります。
| 事件 | 被害の規模 | 問題の本質 |
|---|---|---|
| ①911 S5ボットネット(2024年) | 190か国1,900万台感染・被害数十億ドル | 無料VPNアプリがマルウェアで、犯罪の踏み台に |
| ②7社同時流出(2020年) | 2,000万人分のデータ流出 | 「ノーログ」謳いながら全記録をノーパスワードで放置 |
| ③Hola VPN転売(時期不明・発覚後問題化) | 5,000万ユーザーの回線が転売 | ユーザーの回線が犯罪攻撃の発信源に |
| ④HotSpot Shield FTC制裁(2017年) | 規制当局による制裁 | 匿名保護を謳いながら広告会社にデータ販売 |
| ⑤UFO VPN政府連携疑惑(2020年) | 2,000万人分の通信が継続監視 | VPN自体が監視インフラとして機能 |
いずれの事件も「安全のためにVPNを使った人が、そのVPNによって被害を受けた」という構造です。「無料」という言葉には必ず代償があります。その代償がユーザーのプライバシーと安全だったのが、これらの事件の共通点です。
VPNは使い方次第で強力なセキュリティツールになります。しかし「無料VPNを使う」という行為は、セキュリティを高めるどころか、新たな脅威にさらされるリスクを生む可能性があります。
月額500円以下でも利用できる信頼性の高い有料VPNが存在する今、「無料だから」という理由だけで危険な選択をする必要はありません。30日間の返金保証を使って試してみることをおすすめします。
※本記事の情報は2026年4月時点のものです。記載の事件・事例は各公開情報・報道をもとにまとめたものです。詳細については各機関の公式発表・報告書をご確認ください。特定のVPNサービスの現在の安全性については、最新の独立監査報告書を参照してください。
コメント