公共Wi-Fiで個人情報は盗まれますか?

現在の多くの通信はHTTPS(TLS暗号化)で保護されているため、公共Wi-Fi上での大規模な盗聴被害は極めてまれです。ただし、利用者が自分で設置したような素性のわからない「野良Wi-Fi」は避けるのが無難です。カフェやホテル・空港など事業者が提供するWi-Fiは通常の用途で問題になるケースはほとんどありません。

パスワードを定期変更しなくてよい理由は?

定期変更を義務化すると、人は覚えやすいパターンを使い回しがちになり、結果として弱いパスワードが増える傾向があることが研究で示されています。NISTの最新ガイドライン(SP 800-63B)でも、侵害の証拠がない限り定期的な変更は推奨されていません。それよりも、パスワードマネージャーで強力なランダムパスワードを使い、多要素認証を設定する方が効果的です。

QRコードを読み取るのは危険ですか?

QRコード自体はURLを開くための手段に過ぎず、読み取っただけで被害が出ることは通常ありません。重要なのは遷移先のURLを確認し、個人情報を入力する前にそのサイトの正当性を判断することです。メールのリンクをクリックするのと同じ注意点だと考えれば十分です。

Bluetoothはオフにした方がよいですか?

Bluetoothを経由した実害のある攻撃は実世界では非常に稀です。OSが最新の状態であれば既知の脆弱性はパッチで修正されています。イヤホン・スマートウォッチなど日常的に使うデバイスの利便性を犠牲にする必要はないと考えられています。

効果が薄いセキュリティ対策6選と正しい対策

本記事はプロモーションを含みます。詳細はアフィリエイト開示ページをご確認ください。

セキュリティの世界には、根拠が乏しかったり時代遅れになったりしているにもかかわらず、いつまでも「常識」として語り継がれるアドバイスがあります。これらを「ハックロア」と呼びます。ハッキング（hacking）とフォークロア（folklore、民間伝承）を合わせた造語で、情報セキュリティ版「おばあちゃんの知恵袋」のようなものです。

最終情報確認日: 2026年5月3日

「ストップ・ハックロア」プロジェクトとは

2024年末、Google・Microsoft・Yahoo（米国）などのCISO（最高情報セキュリティ責任者）らが連名で「ストップ・ハックロア」と題した公開書簡を発表しました。主旨は、「根拠に乏しいセキュリティ対策を広めるのをやめ、本当に効果的な取り組みに集中しよう」というものです。

各組織のトップセキュリティ責任者が協力してこうした警告を出した背景には、ハックロアを信じると次の2つの問題が生じるという認識があります。

本当に効く対策に使うべき時間と労力が、効果の薄い対策に費やされる
利便性を不必要に下げることで、セキュリティ全体のモチベーションが低下する

セキュリティと利便性は常にトレードオフです。利便性を過度に犠牲にすると、人は対策自体を放棄しやすくなります。限られたエネルギーをどこに注ぐかは、思っているより重要な問題です。

見直したいセキュリティ対策6選

1. 公共Wi-Fiは使ってはいけない

「フリーWi-Fiでは通信を盗み見られる」という警告は長年語られてきました。しかし現状では、ウェブサイトのほぼすべての通信はHTTPS（TLS）によって暗号化されており、同じWi-Fiネットワーク上にいる第三者が内容を傍受するのは非常に困難です。ブラウザやOSも、証明書の問題があるサイトについて警告を表示する仕組みを備えています。

公共Wi-Fiが原因で大規模な個人情報漏洩が起きた事例は、現在では極めてまれです。カフェ・駅・ホテルなど事業者が提供するWi-Fiを通常用途で使うことは過度に危険視する必要はないと考えられています。

注意が必要なケースは、設置者が不明な「野良Wi-Fi」に接続することです。正規のWi-Fiに見せかけて認証情報を取得しようとする攻撃（悪魔の双子攻撃）が皆無ではないため、接続先の名称が公式のものかどうかを確認する習慣は持っておくとよいでしょう。

なお、VPNにはプライバシー保護・地域制限コンテンツへのアクセス・企業ネットワークへのリモートアクセスなど、公共Wi-Fi対策以外の有用な用途が数多くあります。VPNの選び方についてはVPN おすすめ3選【2026年版】で詳しく紹介しています。

2. QRコードをスキャンしてはいけない

QRコードは「どこに飛ぶかわからないから危険」として警戒されることがあります。しかし、QRコードはURLへの誘導手段に過ぎず、メールのリンクをタップするのと構造的に同じです。QRコードを読み取っただけで何らかの被害が発生することは通常ありません。

留意すべき点は「遷移先のURLを確認する」ことです。不審なURLへの入力は行わない——これはQRコード特有のルールではなく、ウェブ全般のリテラシーとして当てはまります。QRコードを特別に警戒する習慣に時間を使うより、フィッシング詐欺全般への注意を高める方が効率的です。

3. 公共のUSB充電ポートは使ってはいけない（ジュースジャッキング）

空港や駅のUSB充電ポートを使うと「マルウェアを仕込まれる」という警告（いわゆるジュースジャッキング）があります。こうした攻撃は技術的には可能ですが、実際の被害として広く確認されている事例は非常に少ない状況です。

注意を呼びかける機関（FBIなど）が存在する一方、専門家の間では「実害のリスクに対して警告が過剰」という見方もあります。ジュースジャッキングを深刻に心配するエネルギーを、フィッシングメール対策やOS更新に充てた方が費用対効果は高いでしょう。

4. BluetoothやNFCは常にオフにしなければいけない

Bluetoothを使った実害のある攻撃は、現実の環境では非常に稀です。過去にBluetoothに関する脆弱性が発見されたことはありますが、多くはOSアップデートで修正されています。OSを最新の状態に保つことが、Bluetoothを常時オフにするよりも根本的な対策です。

イヤホン・スマートウォッチ・スマートカーキーなど、Bluetoothが関わる利便性は日常生活に深く組み込まれています。リスクの低い攻撃ベクターへの過剰な対策でこれらを犠牲にする必要はありません。

5. Cookieを定期的に削除しなければいけない

Cookieをこまめに削除することで、トラッキングやセキュリティリスクを軽減できるという考え方がありますが、得られるリスク低減効果に対して失われる利便性の方が大きいというのが現在の評価です。

Cookieを削除するたびに全サービスからログアウトされ、再ログインが必要になります。この手間はパスワード使い回しのリスクを高める方向に働くことさえあります。プライバシーの観点から追跡を避けたい場合は、ブラウザのプライベートモードや追跡防止機能を利用する方がバランスがよいでしょう。

6. パスワードは定期的に変更しなければいけない

「数か月ごとにパスワードを更新しなさい」は長年の定番アドバイスでした。しかし、米国国立標準技術研究所（NIST）は最新のガイドライン（SP 800-63B）において、侵害の証拠がない限り定期的なパスワード変更は推奨しないという立場を明示しています。

その理由は人間の行動パターンにあります。頻繁な変更を強制すると、利用者は「Password1」→「Password2」のような予測しやすいパターンを使い回すようになりがちです。結果として、定期変更をしない場合よりもパスワードが弱くなるリスクがあります。

「侵害が起きていないのにパスワードを変更する」よりも、最初から長くてランダムな強固なパスワードを設定し、多要素認証を加える方が実効性のある対策です。

では、何を優先すべきか

時代遅れの対策を減らして空いたリソースを、以下の4つに集中することが専門家のコンセンサスです。

1. パスワードマネージャーを使う

パスワードマネージャーを使うと、すべてのサービスに対して長くてランダムな固有のパスワードを自動生成・管理できます。人間の記憶に頼らないため、パスワードの使い回しを根本から排除できます。

さらに重要な副次効果として、正規サービスのURLと一致する場合にのみ認証情報を入力する機能があります。本物とそっくりなフィッシングサイトへ誘導された場合も、URLが一致しなければパスワードマネージャーは反応しません。人間の目では見分けにくい偽サイトを、技術的に防ぐことができます。

パスワードマネージャーの選び方については1Password レビューで詳しく紹介しています。

2. 重要なアカウントに多要素認証を設定する

IDとパスワードが漏洩しても、多要素認証（MFA / 2FA）が設定されていれば不正ログインを防ぐ強力なバリアになります。金融機関・メール・SNSなど重要なサービスは、設定画面から多要素認証を有効にしておきましょう。

認証アプリ（Google Authenticator、Authyなど）を使うTOTP方式や、ハードウェアキー（YubiKeyなど）を使うFIDO2方式が特に強固です。

3. メールのリンクを安易に開かない

フィッシング攻撃の大半は、メールや SMS に埋め込まれたリンク経由で起きます。「銀行から」「宅配業者から」「政府機関から」を装った偽メールを見分けるのは年々難しくなっています。

送信元アドレスの確認・公式サイトへ直接アクセスするくせをつける・リンク先URLにマウスカーソルを当てて確認する——これらの習慣が、公共Wi-Fi回避よりも実害を防ぐ効果があります。

4. OSとアプリを最新の状態に保つ

既知の脆弱性を突いた攻撃の多くは、OSやアプリのアップデートを怠った端末を標的にします。自動更新を有効にしておくことで、CVEとして公開された脆弱性に対するパッチを迅速に適用できます。

サポートが終了した古いOSや端末を使い続けることは、セキュリティ上の大きなリスクです。最新のセキュリティソフトを導入している場合でも、OSが古ければ保護の範囲に限界があります。セキュリティソフトの選び方についてはノートン360 レビューも参考にしてください。

まとめ

見直してよい対策	理由
公共Wi-Fi を一律に避ける	HTTPS暗号化で保護されている通信が大半
QRコードを警戒しすぎる	URLへの誘導手段としてメールリンクと同等
公共USBポートを使わない（ジュースジャッキング）	実害事例が少なく、リスクに対して過剰
Bluetooth / NFC を常時オフ	実害の頻度が低く、OSアップデートが根本対策
Cookie を定期削除	利便性のコストに対してリスク低減効果が限定的
パスワードの定期変更	NISTが非推奨。弱いパターン化を招くリスクがある

優先すべき対策	効果
パスワードマネージャー	強力なパスワード管理＋フィッシングサイト防御
多要素認証	認証情報漏洩後の不正ログインを防ぐ
メールリンクを確認する習慣	フィッシング被害の大半を防ぐ
OS・アプリを最新に保つ	既知の脆弱性への攻撃を遮断

セキュリティに使える時間と注意力は有限です。根拠の薄い「やった気になる対策」に消耗するより、実証された対策に絞って確実に実行する方が、実際のリスクを下げる効果は高いといえます。

参考情報

NIST SP 800-63B: Digital Identity Guidelines(Authentication and Lifecycle Management) — csrc.nist.gov
“Stop Hacklore” open letter — セキュリティ専門家グループによる公開書簡(2024年)
CISA: Best Practices for Password Management — cisa.gov