- 「無料VPNで個人情報が売られる」——これは都市伝説ではなく、実際に起きていることです
- 無料VPNはなぜ個人情報を「売る」のか——ビジネスモデルの問題
- 【事件①】911 S5ボットネット(2024年・FBI解体)——無料VPN6本がマルウェアだった
- 【事件②】無料VPN7社同時データ流出(2020年)——「ノーログ」は嘘だった・2,000万人分
- 【事件③】SuperVPN再流出(2023年)——Google Playで1億DLでも安全ではなかった
- 【事件④】Hola VPN帯域幅転売——5,000万ユーザーの回線が犯罪に転用
- 【事件⑤】2024年 Google Playから18本以上の無料VPNが削除——マルウェア感染急増
- 研究データが示す無料VPNの実態
- 体験談:「無料VPNを入れていたらスマホの挙動がおかしくなった」
- 「個人情報が売られた」場合に何が起きるか——被害の具体的な内容
- 「ノーログポリシー」は自己申告——信頼できる根拠とは何か
- 安全なVPNを選ぶ——独立監査済みの有料VPN 3選
- まとめ:無料VPNの「代償」は個人情報という名の通貨
「無料VPNで個人情報が売られる」——これは都市伝説ではなく、実際に起きていることです
「無料VPNは危ない」という話を聞いたことはあっても、「具体的にどんな被害が起きているのか」を知っている人は少ないと思います。
「個人情報が売られる」「マルウェアが仕込まれている」——言葉だけ聞くと大げさに思えるかもしれません。しかし実際には、FBI(米国連邦捜査局)が解体に乗り出すほどの規模の事件が起きています。被害者は世界190か国以上、1,900万台以上のデバイスに上る事件が、2024年に実際に起きました。
この記事では、無料VPNをめぐる個人情報流出・販売の実際の事件を事例形式で整理します。「なぜ無料VPNが危ないのか」という仕組みの解説と合わせて、「では何を使えばいいのか」という答えまでお伝えします。
無料VPNはなぜ個人情報を「売る」のか——ビジネスモデルの問題
VPNサービスを運営するにはサーバー費用・人件費・開発費がかかります。有料VPNはユーザーの月額料金でこれを賄います。では無料VPNは何で収益を得ているのでしょうか。
主なパターンは3種類です。
| 収益化の方法 | ユーザーへの影響 | リスク度 |
|---|---|---|
| 広告表示 | アプリ内に広告が入る。一部はブラウザに広告を注入する | △ 煩わしい |
| ユーザーデータの販売 | 閲覧履歴・IPアドレス・位置情報・接続先などをデータブローカー・広告会社に売却 | ✕ 高リスク |
| 帯域幅・デバイスの転売 | ユーザーのネット回線・デバイスをサイバー犯罪者に販売して踏み台に使わせる | ✕ 最高リスク |
VPNの管理者は技術的にユーザーの全通信を見ることができます。調査機関Top10VPNの調査によると、無料VPNの71%が何らかの形でデータを第三者と共有していることが判明しています。「プライバシーを守るはずのVPN」が、逆にプライバシーを侵害する仕組みになっているわけです。
【事件①】911 S5ボットネット(2024年・FBI解体)——無料VPN6本がマルウェアだった
何が起きたのか
2024年5月、FBIは「911 S5」ボットネットを解体し、主犯格を逮捕。190か国以上・1,900万台以上の固有IPアドレスに及ぶ史上最大規模のボットネットだった。感染経路は無料VPNアプリで、MaskVPN・DewVPN・PaladinVPN・ProxyGate・ShieldVPN・ShineVPNの6本がマルウェアとして機能していた。
ユーザーは「VPNで安全にネットを使える」と信じてインストールしましたが、アプリには最初からマルウェアが仕込まれており、インストールした瞬間からデバイスが犯罪者のネットワークに取り込まれていました。
ユーザーに何が起きたか
ユーザーのデバイスは金融詐欺・個人情報窃取・児童搾取コンテンツの配布・サイバー攻撃の踏み台として使われた。運営者はIPアドレスのアクセス権を犯罪者に販売し、約9,900万ドルを稼いでいたとされる。被害額は「数十億ドル」と推定された。
ユーザー自身は何も悪いことをしていないのに、自分のデバイスが世界規模の犯罪行為の発信源として使われていた——これが「帯域幅・デバイス転売」ビジネスモデルの末路です。
⚠️ FBIの警告:FBIはこれらのVPNアプリをアンインストールしてシステムのマルウェアスキャンを実施するよう公式に警告しました。
【事件②】無料VPN7社同時データ流出(2020年)——「ノーログ」は嘘だった・2,000万人分
何が起きたのか
香港を拠点とする7つの無料VPNサービス(UFO VPN・FAST VPN・Free VPN・Super VPN・Flash VPN・Secure VPN・Rabbit VPN)のデータベースが、パスワードなしで公開状態になっていることが発覚。各サービスの公称利用者数の合計は約2,000万人。流出したデータには、ユーザー登録時のIPアドレス・アカウント名とパスワード・有料版利用者のビットコイン支払い情報・PayPal URLなどが含まれていた。容量は1テラバイト、約10億行のデータだった。
これら7つのサービスはすべて同一のバックエンド(香港拠点のホワイトラベル運営)を使っており、「異なる企業が提供する別々のサービス」のように見えて実態は同一組織が運営するブランド群だった。いずれも「厳格なノーログポリシー」を謳っていたが、流出によってすべての接続ログが実際に記録されていたことが証明された。
なぜ特に深刻か
「このVPNがダメなら別のVPNに変えよう」という行動が無意味になる事例です。見た目は別々のサービスでも、同一の危険な運営者が裏側で動いている——これは無料VPN全般に言えるリスクです。
【事件③】SuperVPN再流出(2023年)——Google Playで1億DLでも安全ではなかった
何が起きたのか
Google Playで約1億500万回ダウンロードされた無料VPNアプリ「SuperVPN」で、2021年にはクレジットカード詳細の盗取リスク・メッセージ傍受リスクが報告された。その後2023年にも再び重大な流出が発覚。SuperVPN・GeckoVPN・ChatVPNの3サービスから計2,100万人分の情報が流出し、名前・メールアドレス・支払いデータ・位置情報ログが含まれていた。
「ノーログポリシー」を明示していたにもかかわらず、流出したデータに位置情報ログが含まれていたことが、ノーログ主張の虚偽を証明しました。この流出を受けてGoogleはアプリを削除しています。
「ダウンロード数が多ければ安全」は完全な誤解です。SuperVPNは1億回以上ダウンロードされた大規模サービスでしたが、その事実は安全性を何も保証しませんでした。
【事件④】Hola VPN帯域幅転売——5,000万ユーザーの回線が犯罪に転用
何が起きたのか
5,000万人以上のユーザーを持つ無料VPN「Hola」は、ユーザーの帯域幅(インターネット回線の通信容量)を姉妹会社「Luminati」を通じて1GBあたり約20ドルで販売していた。ユーザーは自分のIPアドレスが「プロキシサーバー」として他者に貸し出されており、Hola/Luminatiのインフラが「8chan(掲示板サイト)へのDDoS攻撃」に使われたことで問題が発覚した。
「プライバシーを守るためにVPNを使った」ユーザーが、そのVPN経由で自分のIPアドレスがサイバー攻撃の発信源として記録される——という、完全な逆効果が起きていました。
【事件⑤】2024年 Google Playから18本以上の無料VPNが削除——マルウェア感染急増
何が起きたのか
2024年第3四半期、GoogleはGoogle Playから18本以上の感染した無料VPNアプリを削除。VPNアプリによるマルウェア検出数は2.5倍に急増した。
公式のアプリストアからダウンロードしたVPNアプリでも、マルウェアが仕込まれているケースが存在します。Google PlayやApp Storeの審査を通過したからといって安全とは言えないことが、2024年に改めて証明されました。
研究データが示す無料VPNの実態
個別の事件だけでなく、研究データも無料VPNの危険性を裏付けています。
| 調査・研究機関 | 調査結果 |
|---|---|
| CSIRO(オーストラリア連邦科学産業研究機構) | 283本のAndroid VPNアプリを調査した結果、38%にマルウェアが含まれていた(内訳:アドウェア43%・トロイの木馬29%・マルバタイジング17%) |
| Top10VPN(2024年) | 71%の無料VPNが第三者とデータを共有。CSIROの2016年調査から状況はほとんど改善されていないことが確認された |
| 警察庁(日本) | 感染経路が判明しているランサムウェア被害のうち55%がVPN装置からの侵入。フォーティネット製SSL-VPN装置約87,000台の認証情報が流出し、日本国内の約1,700台が含まれていた |
体験談:「無料VPNを入れていたらスマホの挙動がおかしくなった」
海外旅行に行くとき、「公共Wi-Fiのセキュリティ対策にVPNが必要」という情報を読んで、無料VPNをいくつか試しました。一番ダウンロード数が多そうなものを入れたら、しばらくしてスマホの動作がおかしくなった。バッテリーの減りが異常に速くなって、通信量も覚えのない増え方をする。
「関係ないかな」と思っていたけど、気になってセキュリティソフトでスキャンをしたら、インストールしたVPNアプリに関連するアドウェアが検出されました。アンインストールしたら元の状態に戻った。
「セキュリティのために入れたアプリが、逆にセキュリティを脅かしていた」という皮肉な体験でした。あのとき公共Wi-Fiで何を通信していたのかを思うと、今でもゾッとします。それ以来、VPNは有料の信頼できるものしか使わないようにしています。
「個人情報が売られた」場合に何が起きるか——被害の具体的な内容
無料VPNで個人情報が漏洩・販売された場合、ユーザーに起きうる被害を整理します。
| 流出した情報 | 悪用される可能性 |
|---|---|
| IPアドレス・位置情報 | ターゲット広告・ストーキング・フィッシング攻撃の精度向上 |
| 閲覧履歴・接続先サイト | データブローカーへの販売・広告プロファイリング・個人情報の推測 |
| メールアドレス・パスワード | クレデンシャルスタッフィング攻撃(他サービスへの不正ログイン試行) |
| 支払い情報(クレジットカード等) | 不正利用・ダークウェブでの売買 |
| デバイス情報 | ブラウザフィンガープリントによる追跡・標的型攻撃 |
| 帯域幅・デバイス(転売の場合) | 自分のIPアドレスが犯罪行為の発信源として記録される |
「ノーログポリシー」は自己申告——信頼できる根拠とは何か
上記の事件に共通しているのは、流出した各無料VPNがすべて「ノーログポリシー」を謳っていたという点です。「ログを保存しない」という主張は誰でもできます。それが本当かどうかを確認する手段が重要です。
信頼性の根拠として有効なのは以下の3点です。
- ①第三者機関による独立監査:PwC・KPMG・Deloitte・Cure53などがサーバーとコードを実際に検証した監査報告書が公開されているか
- ②法的に証明された実績:法執行機関からのデータ提出要請に「記録がないため提供不可」と回答した事実があるか
- ③TrustedServer等の技術的保証:物理的にログが残らない仕組み(RAM専用サーバー等)が導入されているか
これらを満たす無料VPNは事実上存在しません。監査・インフラ整備にはコストがかかるため、無料サービスで実施することはビジネスとして成立しないからです。
安全なVPNを選ぶ——独立監査済みの有料VPN 3選
月300〜600円の有料VPNと「個人情報が売られるリスク」を天秤にかければ、有料VPNを選ぶ合理的な理由は明確です。第三者監査済みのノーログポリシーを持つ、信頼性の高い有料VPN3つを紹介します。
NordVPN——Deloitte監査でノーログが繰り返し確認・法的実績あり
NordVPNはDeloitteによるノーログ監査を複数回受けており、実際に法執行機関からのデータ提出要請に「記録がないため提供不可」と回答した実績があります。有料VPNはAES-256-GCMまたはChaCha20を標準採用しており、NordVPNは両方に対応。2025年には全プラットフォームへのポスト量子暗号(PQE)展開も完了しています。
無料VPN問題の核心である「データの第三者販売」「マルウェア混入」「帯域幅の転売」は、NordVPNでは技術的・法的・監査的に防止されています。「無料VPNをやめて最初に選ぶ有料VPN」として最も推奨できる選択肢です。
NordVPN[公式サイト]
Surfshark——Cure53・Deloitte監査済み・同時接続無制限でコスパ最強
SurfsharkはCure53とDeloitteの両機関による独立監査でノーログポリシーが確認されています。同時接続台数が無制限で、家族全員の端末を一つのアカウントでカバーできます。長期プランでの月額は業界最安クラスで、「無料VPNの代替として最もコストが低い選択肢」という位置づけです。
CleanWeb機能で広告・マルウェア・フィッシングサイトを自動ブロック。無料VPNが持つマルウェアリスクへの対策としても機能します。
SurfShark[公式サイト]
ExpressVPN——PwC・KPMG監査済み・TrustedServerでデータが物理的に残らない
ExpressVPNのTrustedServer技術は全サーバーをRAMメモリのみで動作させ、再起動のたびに全データが完全消去されます。「記録しない」という運用方針だけでなく「物理的にログが残らない」という技術的保証を持つ点で、無料VPNとの信頼性の差が最も明確なVPNです。PwCとKPMGによる監査も複数回実施済みです。
ExpressVPN[公式サイト]
まとめ:無料VPNの「代償」は個人情報という名の通貨
この記事で紹介した事件をまとめます。
| 事件 | 被害規模 | 問題の種類 |
|---|---|---|
| 911 S5ボットネット(2024年) | 190か国1,900万台・被害数十億ドル | マルウェア・デバイス転売 |
| 7社同時流出(2020年) | 2,000万人分のデータ流出 | ノーログ虚偽・データ放置 |
| SuperVPN再流出(2023年) | 2,100万人分・位置情報含む | ノーログ虚偽・データ販売 |
| Hola VPN転売(発覚後問題化) | 5,000万ユーザーの回線転売 | 帯域幅転売・犯罪加担 |
| Google Play 18本以上削除(2024年) | 検出数が2.5倍に急増 | マルウェア・アドウェア混入 |
「無料VPNは危ない」というのは、抽象的な警告ではありません。実名・件数・FBI解体という形で記録された実際の事件の積み重ねです。
月300〜600円という有料VPNのコストは、「個人情報・閲覧履歴・位置情報・支払いデータが第三者に販売されるリスク」と比べたとき、圧倒的に安い保険です。30日間の返金保証があるため、まず試してみることをおすすめします。
※本記事の情報は2026年4月時点のものです。記載の事件・事例は各公開情報・報道をもとにまとめたものです。各VPNサービスの仕様・料金は予告なく変更される場合があります。最新情報は各サービスの公式サイトをご確認ください。
コメント