ブログに戻る
消費者プライバシー·13 分で読める

無料VPN vs 有料VPN(2026年版)——「無料」の本当のコスト

VPNサービスの運営には実際にお金がかかります——サーバー、帯域幅、不正利用対応スタッフ、法務費用など。プロバイダーが何も請求しないとしたら、別の何かがその費用を負担しているはずです。それが問題ない場合もあります(有料ユーザーが補助する小規模な無料プランなど)。しかし、それ自体がビジネスモデルである場合もあり、本当のビジネスモデルはプロバイダーがあなたから引き出した何かを売ることです。どちらがどちらかを見分ける方法を、実名の歴史的事例とともに解説します。

執筆: Casper's Cloak Security Team

要点:「無料」VPNには三つの正直なカテゴリーがあります。(1)有料プロバイダーの機能制限付き無料プラン(Proton、Windscribe、TunnelBear)——有料ユーザーが補助し、ヘビーユーザーがアップグレードするよう意図的に制限されており、ビジネスモデルは明快です。(2)目的のための無料VPN(企業・大学のVPN、別製品に組み込まれたVPN)——ユーザーをネットワークに取り込みたい組織が費用を負担し、ビジネスモデルは親製品が何を売るかによります。(3)収益化手段としての無料VPN——VPNプロバイダーがビジネスそのものであり、ユーザーが収益源です。その第三カテゴリーこそ、文書化された被害が歴史的に集中してきた場所です——デバイスを出口ノードにするボットネット型モデル、データブローカーへの転売、広告挿入、マルウェアのバンドル。最初の二つは問題ない場合が多いです。第三のカテゴリーが「VPNを使うのは危険か」という見出しのほとんどを生み出してきました。これら三つを見分けるためのフィールドガイドです。

最初に開示します:Casper's Cloakは有料VPNサービスです。このトピックについて商業的な利害関係があります。だからこそ、この記事は漠然とした「無料は危険」という警告ではなく、検証可能な文書化された歴史的事例——元のソースで確認できる事実——に焦点を当てています。目的は無料VPNへの恐怖を煽ることではなく、ビジネスモデルを実際に理解できるVPNを選ぶ手助けをすることです。

「無料」がプロバイダーに実際にかかるコスト

以降の分析の基盤となる具体的な数字を示します。1,000台のサーバーを30カ国で運営する小規模VPNプロバイダーが支払うコスト:

  • サーバーホスティング:地域によって月額$40〜150/台(西ヨーロッパ、米国東部は安価;APAC、中南米、アフリカは高価)→ 最低でも月額$40K〜150K。
  • 帯域幅:支配的なコスト。VPN出口ノードはほぼあらゆる他のワークロードより多くのトラフィックを処理します——典型的なユーザーは月50〜200GBを使用し、プロバイダーは利用率80%以上で運用します。大規模になると帯域幅のコストがサーバーコストをはるかに上回ります。
  • 不正利用対応:DMCAの通知、ホスティングプロバイダーからの苦情、決済代行業者からの問い合わせ、そして時には法執行機関からの書面への対応は誰かのフルタイムの仕事です。これは省略できず、大規模になると高コストになります。
  • エンジニアリング:プロトコルスタックの保守(WireGuard、OpenVPN)、iOS/macOS/Windows/Linux/Android向けクライアントアプリ、監査、セキュリティ対応。

1,000台以上のサーバーを運営し、実際のオペレーションチームを雇用し、毎年監査を受け、料金を$0にするためには——資金がどこかから来なければなりません。正直な問いは:どこから?以下の三つのパターンが、私たちが実際に文書化したほぼすべてをカバーしています。

パターン1——有料プロバイダーの機能制限付き無料プラン(通常は問題なし)

最もクリーンなパターンです。プロバイダーはほとんどのユーザーに有料製品を販売し、マーケティングのじょうごとして意図的に制限した無料プランを提供します。制限は通常三つの形をとります:

  • 帯域幅制限(Windscribe:無料で月10GB;TunnelBear:無料で月2GB)。ヘビーユーザーは上限に達してアップグレードするか、サービスの使用をやめます。無料ユーザーはじょうごとしての価値に見合うコストよりも少ないコストしかかかりません。
  • サーバー位置制限(Proton Free:3カ国;ProtonVPN Plus:110カ国以上)。無料プランは「カフェのWiFiで通信を暗号化したい」という用途には十分です;他の国からのストリーミングには有料プランが必要です。
  • 機能制限(ストリーミング不可、Torrenting不可、同時接続数が少ない)。サーバー制限と同じロジックです。

プロバイダーがこのカテゴリーに属することを確認する方法:(a)明らかで透明性のある有料プランと実際の顧客がいる(評価だけでなく、アプリストアの評価件数を確認する);(b)プライバシーポリシーでトラフィックデータをログに記録したり販売したりしないことを明確に述べており、それを確認する外部監査を公開している;(c)名前のある幹部と既知の管轄区域を持つ実在の会社である;(d)有料サブスクリプションから収益のほとんどを得ており、通常はマーケティング資料でそれを開示している。

パターン2——目的のための無料VPN(目的による)

誰か別の人があなたに使ってほしいから無料です。三つのサブケース:

ブラウザー組み込みVPN(Opera VPN、Brave Firewall + VPN、Cloudflare WARP)。親会社は異なるビジネスモデルを持っています——広告販売、エンタープライズサービス販売、DNS販売——そしてVPNはブラウザーを差別化するために存在します。これらは通常、その範囲について正直です:Opera VPNは真のVPNではなく無料の暗号化プロキシであり(ブラウザー内のトラフィックのみを保護)、そのように説明しています。Cloudflare WARPはCloudflareのエンタープライズCDNビジネスによって資金提供されており、世界で最も監査された無料ネットワークサービスのひとつです。

AppleのiCloud Private Relayはこのカテゴリーに属します——iCloud+にバンドルされているため、厳密な意味では「無料」ではありませんが、すでにiCloudストレージに料金を払っているなら実質的に無料です。また、Safari専用、二重ホップ、汎用VPNではないことも明示されています。その範囲についてはiCloud Private Relayが実際にカバーするものとカバーしないもので詳しく解説しています。

企業・大学のVPN。機関が費用を支払うため、あなたには無料です。そのことは正直に伝えられています。その目的(機関のリソースへのアクセス)に使用し、個人プライバシーには使用しないでください(機関は設計上すべてのトラフィックを見ることができます)。

確認方法:プライバシーポリシーを読み、親会社のメインビジネスモデルを確認してください。メインビジネスがブラウザー広告(Opera)やエンタープライズCDN(Cloudflare)であれば、VPNの動機は台無しにしないこととほぼ一致します——VPNスキャンダルによる悪評は、より収益性の高いビジネスにダメージを与えます。

パターン3——収益化手段としての無料VPN(文書化された被害が集中してきた場所)

これは「VPNを使うのは危険か」というすべての記事が実際に扱っているカテゴリーです。VPNプロバイダーには他のビジネスがなく;VPNがビジネスそのものであり;ユーザーが収益です。三つの文書化された歴史的なメカニズム:

3a. デバイスを出口ノードとして使用(Hola / Luminatiモデル)

ブラウザーのジオブロッキング解除のための無料VPNとして売り込まれたHolaは、2010年代初頭に数百万人のユーザーを獲得しました。ビジネスモデル——利用規約で「開示」されていましたが、「利用規約で開示」という意味合いの通り——は、あなたのデバイスがHolaの商業プロキシネットワークであるLuminati(現在のBright Data)の出口ノードとして機能するというものでした。有料のエンタープライズ顧客はHola無料ユーザーの住宅用IPを通じてトラフィックをルーティングしていました。

よく文書化されたその後:2015年、セキュリティ研究者たちはHolaのユーザーが8chanのDDoSボットネットの出口ノードとして使用されていたことを示しました——つまりHolaユーザーのIPが、自分では知らないまま攻撃トラフィックを発信していたのです。Luminatiネットワークはその後リブランドし、同意フローを追加して運営を継続しています;モデルはほぼ同じままです。

見分け方:プロバイダーが「ピアツーピア」アーキテクチャや「コミュニティ運営」ネットワークについて漠然と話しています。利用規約に「アイドル状態のデバイスの帯域幅を使用する権利」が記載されています。無料の消費者製品と並行して有料の商業プロキシ製品を販売しており、それが同一ネットワークです。

3b. データブローカーへの転売(Onavo / Facebookモデル)

Onavo Protectは無料のVPNアプリでした——Facebookは2013年に親会社を買収し、iOS/AndroidでOnavo Protectとして運営しました。プライバシーポリシーには、Facebookがネットワークトラフィックの可視性を使用して、ユーザーがどのアプリをどのくらいの頻度でどのくらいの時間使用しているかを把握することが開示されていました。この情報はFacebookの製品戦略を形成しました:有名な例として、Onavoのデータがオークション前にWhatsAppの成長をFacebookに知らせ、Reels前にTikTokの成長を知らせました。

Appleは2018年にデータ収集違反を理由にOnavoをApp Storeから削除し、Facebookはケンブリッジ・アナリティカの余波で見栄えが悪くなった2019年にサービスを終了しました。そのメカニズム——親会社の競合情報収集のじょうごとしての無料VPN——は定期的に繰り返されます;名前は変わりますが構造は繰り返されます。

見分け方:親会社の実際のビジネスは広告、ソーシャルネットワーク、または競合分析です。プライバシーポリシーには広い範囲で「匿名化された集計使用データ」や「サービス改善」という文言が含まれています。その無料VPNには明らかな有料プランがありません——スタンドアロン製品として存在する理由がありません。

3c. 広告挿入とマルウェアのバンドル(ロングテール)

最も洗練されていないが最も一般的なパターン:無料VPNアプリがウェブページに広告を挿入したり、アフィリエイトリンクを通じてトラフィックをリダイレクトしたり、バンドルされたアドウェア/スパイウェアとともに配布されたりします。無料Android VPNアプリの研究では、意味のある割合のアプリがトラッキングSDKを組み込んだり、不必要な権限を要求したり、極端な場合はあからさまなマルウェアを含んでいることが繰り返し発見されています。CSIROは、調査した283の無料Android VPNアプリの38%に何らかの形のマルウェアが含まれていることを示す頻繁に引用される2017年の研究を発表しました;その後の研究では状況は改善されたが変革はされていないことが示されています。

見分け方:アプリ自体のUIに積極的な広告配置があり、VPNに必要な以上の権限(連絡先、SMS、常時位置情報)を要求し、アプリストアのレビューが非常に少なく、開発者名が見覚えがありません。互いにわずかに異なって見える汎用的な「ベスト無料VPN」のPlayストアアプリは、通常同一のSDKをリブランドしたものです。

プライバシーポリシーの危険信号チェックリスト

無料か有料かを問わず、VPNをインストールする前にプライバシーポリシーを読み、これらの具体的な懸念事項を確認してください:

  • 広い許可された用途(「サービス改善のため、パートナーのため、マーケティング目的のため」)を持つ漠然とした「集計使用データ」の文言。正直な有料プロバイダーは通常、記録するものを具体的に列挙します:アカウント情報、支払い情報、場合によっては集計レベルの帯域幅使用量、それ以外は何もありません。
  • サードパーティ監査がないか、リンクのない漠然とした言及。正直な有料プロバイダーは完全な監査報告書へのリンクを提供します(Proton、Mullvad、ExpressVPN、NordVPNはすべて自社のものを公開しています)。
  • ユーザープライバシーに敵対的な管轄区域——米国(NSLの口止め命令の対象)、英国(調査権限法)、またはファイブアイズ・フォーティーンアイズの情報共有取り決めに参加する管轄区域。自動的に失格ではありませんが、考慮する価値があります。
  • 匿名の所有権。数分の調査でその製品を所有する会社とその所在地を特定できなければ、それはシグナルです。
  • 「P2P / ピアツーピア / コミュニティネットワーク」のアーキテクチャ言語——上記のHolaのパターンを参照してください。
  • VPNに必要な以上のアプリストア権限。VPNにはVPNサービス権限が必要であり、Androidではフォアグラウンドサービスが必要です。連絡先、SMS、カレンダー、正確な位置情報は必要ありません。

無料が本当に正しい答えである場合

無料VPN(特にパターン1またはパターン2)が本当に適切なツールである三つの正直な使用例:

  • たまにカフェで暗号化したい場合。敵対的なWiFi上での観察からトラフィックを暗号化したく、月間の使用量が数GB未満で、速度に恩恵を受けることをしていない場合。ProtonVPN Free、Windscribe Free、TunnelBear Free、Cloudflare WARPはすべてこれを問題なく実現します。
  • 購入前に試したい場合。年間サブスクリプションにコミットする前に、有料プロバイダーの無料プランを使用してアプリの品質、速度、国リストを検証してください。無料プランはこの目的のために存在しています。
  • すでに誰かのバンドルに入っている場合。iCloud+の料金を支払っており、トラフィックのほとんどがSafari経由の場合、iCloud Private Relayは実質的に無料です。Braveを使用していればBrave Firewall + VPNがバンドルされています。雇用主が企業VPNを提供していれば、仕事にはそれを使い、個人使用には別のものを組み合わせてください。

有料VPNで実際に何が得られるか(正直なバージョン)

マーケティングの主張を抜きにして、サブスクリプション収入によってプロバイダーが提供できる、広告収入やデータ転売のプロバイダーが構造的に提供できないものを示します:

  • あなたのプライバシーに対する動機が一致している(逆ではなく)。サブスクリプションが収益そのものです;トラフィックデータを売ることはブランドと顧客基盤を破壊します。正直な行動に対する経済的な論拠が最も強力です。
  • あなたを切り捨てずに不正利用に対処する能力。有料プロバイダーは不正利用対応スタッフの余裕があります;無料プロバイダーはこのリソースが不足しており、不正利用がレピュテーションを損なうか、機能が削除されるか(P2P/Torrentingはコスト上の理由でよく無料プランから消えます、ポリシー上の理由ではなく)のどちらかです。
  • サードパーティ監査。外部セキュリティ監査には実際のコストがかかります;無料プロバイダーはほとんど依頼しません。大手有料プロバイダーは定期的なスケジュールで監査報告書を公開します。
  • 速度とサーバー密度。帯域幅が支配的なコストです。有料プロバイダーは余裕を持って確保できます;無料プロバイダーは配給します。これはピーク時の速度低下、利用可能な国数の少なさ、IPプールの小ささとして現れます。
  • 実際のカスタマーサポート。無料プランのユーザーはコミュニティフォーラムを利用します;有料顧客は数時間以内のメール返答を得られます。
  • 明確なビジネスモデル。会社がどのように収益を得ているかを特定できれば、ストレス下(買収、財政難、規制圧力)での会社の行動を予測できます。

VPNも全体の答えではない理由(正直な有料プロバイダーの立場)

完璧な有料VPN——適切に監査され、ノーログで、よく設計された——でも、プライバシー問題の特定のサブセットのみを解決します。トラフィック暗号化の部分:はい。「ISPがどのサイトを訪問しているか見えない」部分:はい。「カフェのネットワークがセッションを読み取れない」部分:はい。しかし:

  • 通信するサイトやアプリはあなたを見ている——そして携帯電話では、アプリ内トラッキングSDKはネットワークパスに関係なくホームに電話します。iOS App Tracking TransparencyはIDFAをブロックしますが、フィンガープリンティングはブロックしません;詳しくはiOSのApp Tracking Transparencyが防げないものを参照してください。
  • 広告、トラッカー、悪意あるドメインはDNS層で依然として読み込まれます。VPNは宛先へのトラフィックを暗号化しますが、どの宛先に到達するかはフィルタリングしません。だからDNSレベルのフィルタリングが自然な組み合わせです——詳しくはDNSレベルのフィルタリングが実際にどのように機能するかを参照してください。
  • メタデータ層でのトラフィック分析攻撃——1秒あたりのバイト数のパターン、タイミング、誰にいつ接続するか——は暗号化トンネルを通しても機能します。ほとんどのユーザーは気にしませんが、気にするユーザーもいます。

Casper's CloakはVPNトンネリングとDNSレベルの広告/トラッカーブロッキング(ユーザーごとにリゾルバーとしてPi-holeインスタンスを実行)およびAI駆動の脅威検出を組み合わせています——明示的にVPN単体ではDNS層のサーフェスが開いたままになるためです。正直な表現:有料VPNはプライバシー問題の意味のあるセットには必要ですが、それだけでは他の問題には不十分です。

結論

無料VPNはひとつのカテゴリーではなく、インセンティブ構造が大きく異なる三つのカテゴリーです。有料プロバイダーの機能制限付き無料プラン:通常は問題なく、意図的に制約されており、有料ユーザーがあなたを補助します。目的のための無料VPN:誰が費用を払っているか、なぜかによって異なりますが、通常は正直に伝えられています。収益化手段としての無料VPN:これが文書化された被害が集中してきた場所です——ピア出口ノードネットワーク、データブローカーへの転売、広告挿入、マルウェアのバンドル。第三カテゴリーを最初の二つと区別する方法は、上記のプライバシーポリシーの危険信号チェックリストであり、より確実なのは「お金はどこから来ているか?」と自問することです。それが答えられるなら、おそらく問題ありません。答えられないなら、あなたがおそらく製品です。

そして、どれを選んでも:無料、有料、または使わない場合でも、少なくともDNSレベルのフィルタリングを重ねて使用し、これらのどれかひとつが全体の答えだとは思わないでください。正直なスタックはVPN + DNSフィルタリング + 適切なOSのデフォルト設定です——それがCasper's Cloakが提供するアーキテクチャであり、望むなら無料パーツで自分で組み立てられるアーキテクチャでもあります。


関連:2026年の公共WiFiへの攻撃はVPNが対処すべき脅威モデルを扱っています;DNSレベルのフィルタリングが実際にどのように機能するかはVPNが開いたままにする層を扱っています;iCloud Private Relayが実際にカバーするものはAppleの「完全なVPNではない」プライバシー機能を扱っています。Casper's Cloak vs 従来のVPNの比較では技術的な違いをより詳しく解説しています。

監修: Casper's Cloak Security Team · 最終更新

Casper's Cloakを試す

有料VPNクラスの暗号化 + Pi-hole DNSフィルタリング + AIによる脅威検出が一つのアプリに。正直なビジネスモデル、設計上アクティビティログなし、デバイス全体を保護します——料金プランまたは脅威保護機能をご覧ください。