無料VPNの危険性とリスク　徹底解説・事例

2023年2月1日この記事は12分で読めます

コロナ禍は、VPN業界にとってゲームチェンジャーとなりました。2019年から2022年の間に、世界のVPN市場はほぼ2倍になり、2019年にアメリカ人の約22.9%しか自宅でVPNを利用していなかったのに対し、2021年にはその数字は78%に膨れ上がった。

より一般的に使われる製品となったVPNは、無名に戻ることはなさそうです。
VPNの人気が劇的に高まったのは、リモートワークの普及の影響もあるが、VPNは基本的に仕事関連以外の場面でも使われるものである。

VPNを利用する理由は、仕事、プライバシー保護、エンターテイメントなど、さまざまです。
オンラインプライバシーに敏感なユーザーは、VPNの難読化機能を利用して、インターネット・サービス・プロバイダー（ISP）による追跡を阻止したりする。
また、公衆無線LAN（フリーWi-Fi）のハッキングによる傍受からデータを保護するためにVPNを利用している人もいる。
そして、VPNを使えば、オフィスや大学のファイアウォールや地理的なコンテンツアクセス制限を回避したり、検閲をかいくぐることもできる。

VPNを選ぶとなると、選択肢は無限にあるように思える。
有料、無料を問わず、全く同じ機能を持つ製品が数多く存在する。

では一体、なぜお金を払うVPNもあって、逆に完全無料のVPNもあるのか？

VPN運営にかかる費用

多くの無料製品は実際のところ、“無料※”という風にコメジルシ（一見では見えない隠された条件）が付いていたり、何かの裏があったりするのです。
無料のものには隠れた代償があることが多く、特に「完全無料」系VPNの場合、ユーザーは知らないうちに自分のデータ・個人情報で“支払う”ことになってしまう可能性も高いです。

つまり、ちゃんとしたVPNサービスを開発・運用するためには多くの資金が必要であり、VPN運営者はどこかでその資金を調達する必要がある。

しかし、このお金はいったい何のために必要なのでしょうか？

VPNを提供する場合にかかるあらゆるコストについて説明します。

帯域幅・サーバー代

まず、VPNプロバイダーが適切に機能するためには、多くの帯域幅を持つ複数のサーバーを借りる必要があります。
帯域幅とは、一定の時間内に特定の接続を介してデータを転送する最大速度のことです。
1つのVPNプロバイダーが一度に数十万人のユーザーに対応する必要があることを考慮すると、帯域幅自体は決して安いものではないことがわかります。
帯域幅は貴重な商品であり、パッシブインカムサービスの中には、ユーザーが自分の未使用の帯域幅を販売できるものもあり、買い手には1GBあたり1ドルの料金が請求されます。

サーバー関連開発・メンテナンス・カスタマーサポート費

VPNサービス提供者は、サーバーのネットワークは保守し、脆弱性をスキャンし、アップグレードする必要があります。
そのためには、専門の開発・サポートチームが必要です。
このチームは、理想的には24時間体制で問題に対処し、異なるタイムゾーンにいるクライアントにタイムリーに対応することが必要です。
つまり、オフィス経費やスタッフの給与も必要になるのです。

アプリ開発費

人気のあるVPNアプリのほとんどは、複数のプラットフォームに対応しています。
異なるOSを搭載した複数のデバイスを同時に使用する人々は多く、顧客の期待に応えるために、VPNプロバイダーは、自社VPNアプリの異なるプラットフォーム版を提供する必要があります。
そのため、Windows、macOS、iOS、Android用のVPNアプリを作成し、更新・改善するために資金と労力を投資する必要があります。

VPNがスムーズに動作するためには、高速なサーバーが必要です。

サイト運用・マーケティング費用

VPNが、優れたユーザーサポート、優れたカバレッジ、無制限の帯域幅を提供しても、誰もそのVPNのことを聞いたことがない場合、利益が出ずビジネスは潰れる可能性が高い。
そのため、ユーザーフレンドリーなウェブサイトの構築や、ある程度のマーケティングとプロモーションの費用などを考慮しなければなりません。

上記のあらゆるコストを見ると、
「有料版がない“完全無料”系VPNはどのようにして運営され、一体何から経費と収入を得ているのか？」
と疑問に思うのも当然です。

この質問に対しての答えとして、結論から言ってしまえば、有料版のない“完全無料”VPNは、顧客のセキュリティを危険にさらすか、データ・個人情報を共有・販売することで顧客を商品化するか、あるいはその両方をするのです。

商品はあなたです

プライバシーポリシーの奥深くにあったりしますが、いくつかの無料VPNは、顧客の個人情報を収集・保管し、それを第三者に開示する可能性があることを公然と認めている。
（多くの人が知っているはずの）ある人気のVPNの場合、あなたのデバイスを通してウェブサイトにアクセスすることを許可することが、無料で使用するための条件となっています。
このSDKは、あなたのIPアドレス以外の個人情報にアクセスすることはありません。一見、IP共有だけならいいではないかという感じがしますが、VPNをプライバシー保護のために利用する際、IPアドレスの公開はあまり望ましくありません。

このようなVPNアプリは、Facebookなどの広告主と提携することがあり、広告主はユーザーを追跡し、広告のターゲットとすることができる。
このように収集された個人情報・データは、通常、プライバシーに優しくない広告主独自のプライバシーポリシーの対象となることが多い。

VPNプロバイダーは、無料版と有料版の両方を提供している場合があります。
このカテゴリのプロバイダーの中には、無料製品の機能を制限し、ユーザーにプレミアム版への加入を促すものがある。
そして、それとは別に、無料でサービスを使い続けたいのであれば、サードパーティ広告の配信を受けてくれというプロバイダもあります。

無料VPNがどのようにお金を稼ぐのかについて深く掘り下げたいくつかの独立研究もあります。

この記事では、競合他社を非難することなく、無料VPNサービスにどのような見返りが付いていることがあるかについて、いくつかの例を挙げたいと思いました。
また、どのようにお金を稼いでいるのかを秘密にしていない（プライバシーポリシーや利用規約（ToS）で表記している）無料VPNもありながら、それをあまり公開していない無料VPNもあるということも言っておかなければならない。
後者の理由は当たり前で、プライバシーやセキュリティのためにVPNを利用する人のほとんどにとっては、第三者とデータ・個人情報を共有されるという点は無論NGだからだ。

怪しいアクセス権限要求

無料のVPNアプリが要求する権限レベルも、注意すべき点の1つです。

VPNアプリは、ユーザーへの宣伝のため、あるいは悪意のある目的のために、過度で侵入的な権限を要求する場合があります。

押し付けがましく不要な権限が必要なVPNアプリは信用しない方が良い

ですから、例えば何らかのアプリがあなたのスマホへのフルアクセス権限を要求してきたら、非常に要注意です。
例えば、ユーザーがVPNアプリに「電話の状態を読む」権限を与えた場合、開発者はユーザーの現在のスマホのネットワーク情報、進行中の通話状況、デバイスに登録されているすべての連絡先にアクセスできるようになります。
結果として、ユーザーの電話番号やデバイスIDを知ることができ、VPNがデータを記録している場合、その情報は漏えいする可能性がある。

また、VPNアプリにトラッカーが内蔵されている場合も注意が必要です。
VPNアプリにトラッカーは存在すべきではない理由と、VPNアプリにトラッカーがあるかを自分で確認する方法は前回の記事で詳しく説明しました。
その記事内容を短くまとめると、VPNプロバイダーは、アプリにトラッカーを組み込むことで、ユーザーデータを収集するための抜け穴を自ら作っているのです。

秘密のログ保持と不十分なセキュリティ

無料VPNのもうひとつの問題点は、（「記録していない」と言っていても）ログを記録していること。

無料VPNは通常、堅牢なセキュリティインフラを誇っていないので、ユーザーの個人データがハッキングや漏洩で公開され、潜在的には解読化される可能性があるということです。

無料VPNアプリのユーザーは、こうしたプライバシーに内在するリスクを知らないままだったり、手遅れになってからメディアから情報を得たりすることが多く、すでにデータが漏洩してしまっていることもあります。
そのような例は数多くありますが、ここではそのいくつかを紹介します。

数年前、7つの異なる無料で「ログなし」VPN（すべて同じ開発者にリンクされている）が、ユーザーの個人情報を安全でないサーバーに保存していることが発覚しました。
興味深いことに、このVPNグループは、軍事級のセキュリティ機能を提供していると主張していました。
しかし、vpnMentorの研究者は、流出したデータベースから、ユーザーのメールアドレスとパスワードを平文で発見したのです。
さらに、VPNは、名前、接続元のIPアドレス、実際の場所、インターネット・サービス・プロバイダー（ISP）、デバイスID、さらには顧客が閲覧したサイトまで記録していたのです。
さらに、VPNプロバイダーは、研究者からの連絡を無視し、サーバーが保護されるまでの約2週間、データベースは流出し続けていました。
この漏洩により、VPNを使用すると法律に触れる可能性がある地域からVPNサーバーに接続したユーザーを含む、最大2000万人の機密データが流出した可能性があります。

VPNアプリの中には、お客様のデータを記録し、第三者と共有することができるものがあります。

昨年の別の大きな事件では、総インストール数が1億を超える3つの無料VPNアプリから2100万人以上のユーザーの個人情報が盗まれ、売りに出されました。

データには、フルネーム、ユーザー名、国名、メールアドレス、支払い関連データ、デバイスのシリアル番号、デバイスIDなどの詳細なユーザー認証情報が含まれていました。
販売者は、VPNプロバイダーらが「デフォルトのデータベース認証情報」を使用したままにしていたとし、一般に公開されているデータベースをスクレイピングできたと主張した。

最近では、主に中国のユーザーを対象とした無料のVPNアプリが、IPアドレス、ID、ドメイン名などの個人時情報を流出させていることが発覚しました。
2022年7月、Cybernewsの研究者は、VPNに属する626GBの接続ログを含むデータベースを発見した。
流出したデータは、ユーザーの匿名化を解除するために使用できるものでした。
さらに、同VPNのAndroidアプリは、カメラ、音声記録、連絡先へのアクセス権限を要求しており、研究者によれば、「スパイウェア」として機能する可能性があったとのことです。

VPNがデータを記録していることは、そのプライバシーポリシーに明記されていない場合があります。
さらに、VPNが厳格なログなしポリシーを掲げている場合、必ずそれを守っているとは限りません。
結論として、特定の開発者自体を信頼できるかどうかということになるのです。

マルウェアとフェイク

不謹慎なアプリがこれ以上にできる悪さはないと思った場合、そうではありません。

無料VPNアプリの中には、そもそもログに記録しないはずのデータを流出させるだけでなく、スマートフォンをマルウェアに感染させたり、ユーザーのお金を盗難するものもあります。

『Top10VPN』の調査によると、GoogleのPlayストアで上位150の無料Androidアプリの「ウイルスやマルウェアの可能性をスキャンしたところ」、およそ30個のVPNアプリには「陽性反応が出た」そうです。

数年前、研究者たちは、本物と全く同じように見えるように設計された偽装ウェブサイトを通じてダウンロードできる偽VPNを発見しました。
このVPNアプリは、ユーザーの認証情報や暗号通貨などを盗むことができるデータ窃取型のマルウェアだったのです。

詐欺的なVPNアプリは、ユーザーをだますために正規のVPNアプリを模倣することができる

また、複数の独立した研究によると、脅迫者はアプリストアのモデレーションを回避し、そこに偽のVPNを仕込むことができることが示されています。
研究者は最近、Google Play Storeでダウンロード可能な、既知のハッカーグループに起因する別の偽VPNアプリを発見しました。
このアプリは、フィッシング詐欺のために作成されたとされ、同名の正規アプリに似せて設計されています。

無料で安全なVPNは少ないが存在する

上記のことは、無料で安全なVPNが全く存在しないことを意味するものではありません。

有料のVPNで評判の良い開発元は、無料機能も提供していますが、その無料機能は通常、制限されており、"フリーミアム"として知られています。
デバイスの数だけでなく、利用可能なサーバやデータ通信量にも上限がある場合があります。
無料版は、VPNを試してみるのには最適な方法ですが、VPNを非常に散発的に使用しない限り、長期的な利用には向いていません。
例えば、AdGuard VPNを2台のデバイスで同時に無料で使用することができますが、速度制限は20Mbpsに設定され、通信量は月に3GBに制限されます。

通常、無料で利用できるサーバーの数も限られているため、そういったサーバーは常に混んでいて、通信速度に影響が出ることも少なくありません。

無料VPNを安全に使う方法

有料VPNを選ぶときもそうですが、特に無料のVPNを選ぶ時に注意しておくべき点は以下の通りです。

信頼できる開発元のVPNアプリを使用する
ダウンロードする前に、VPNのプライバシーポリシーと利用規約(TOS)を確認しておく
ダウンロード数が多くレビュー評価がよくても、必ずしもそのVPNが安全であるとは限らない
多くのユーザーは、無料VPNにあまり期待していないため、インターネット接続速度があまり落ちない状態でアクセス制限されているコンテンツにアクセスさえできれば、満足しちゃうのです。また、最も人気のある無料VPNの一部は、ユーザーデータを第三者と共有していることが知られているにも関わらず、その人気さはほぼ影響されていない。
アプリが要求してくるアクセス権限に注意してください。
通常、VPNはあなたの連絡先へのアクセスを必要としないため、そのような権限を要求してくるアプリは怪しい。
使用しようと思うVPNアプリにおいて、トラッカーの有無を確認してください。

【VPNアプリにトラッカーが組み込まれていないかを確認する方法の一つ】
こちら（Androidアプリのプライバシー監査プラットフォーム「Exodus」）でチェックしたいVPNアプリ名（もしくはアプリのGoogle Playストアリンク）を入力し、「trackers」が「０」という結果が出た場合、内臓トラッカーはなく、個人情報を収集・共有・販売しないVPNアプリとなります。

多かれ少なかれ頻繁にVPNを必要とするのであれば、信頼できる開発者による有料VPNサービスに投資しておくことがお勧めです。

AdGuard VPNには、月額・1年・2年のサブスクリプションプランがあり、主要なプラットフォームすべて (Windows, Mac, iOS, Android)に対応しています。
また、1年と2年サブスクリプションに対しては、ご購入から30日間以内であれば全額返金保証を提供しておりますので、安心して製品をお試しいただくことができます。

無料VPNの危険性とリスク　徹底解説・事例