「プライバシーの守護者」を自称するVPNサービスが、アカウント認証の基本すら満たしていないケースが相次いで明らかになった。米メディアTom’s Guideのジョージ・フィリップス記者が2026年5月9日に公開した調査で、25のVPNサービスのパスワードポリシーを実際にアカウントを作成して検証した結果、6社以上が「password」や「12345678」といった単純なパスワードを許可していることが判明している。
なぜこの調査が注目されるのか
VPNは「安全なインターネット通信を実現するツール」として販売されている。その入口であるアカウント認証が脆弱では、本末転倒だ。Tom’s Guideの今回の調査はVPNサーバーの暗号化品質ではなく、ユーザーアカウントへのログイン認証という「守る側の入口」に焦点を当てている点が重要で、見落とされがちなセキュリティ層の実態を照らし出している。
海外レビューのポイント
Tom’s Guideのレビューによると、テストに使用したパスワードは password 12345678 1234pass @1234567 の4種類。各サービスに対し、パスワードルールの表示有無・ルール数・強制適用の有無・2FA(二要素認証)の対応状況を確認した。
最悪評価の4サービス(脆弱なパスワードを許可 + 2FA非対応)として以下が名指しされた:
- FastestVPN — 「最低8文字」のみで全テストパスワードが通過
- Hotspot Shield — 「最低6文字」で全テストパスワード通過、2FAなし
- OysterVPN — FastestVPNと同等の脆弱なポリシー
- ZoogVPN — 最低文字数のみで、基準すら入力開始後に初めて表示される
さらにAirVPN(最低3文字)、CactusVPN(1文字でも可)、TorGuard(最低4文字)の3サービスも脆弱なパスワードを一部許可していた。ただしこの3社は2FAをサポートしており、最悪グループとは区別されている。
一方で、Tom’s Guideのベスト VPN選出サービス(NordVPN・Surfshark・ExpressVPN・Proton VPN・Private Internet Access)は全て評価対象となった。レビュアーの評価では、Surfsharkが最も厳格で、「8文字以上・大文字・小文字・数字・記号を各1文字以上含む」という6ルールを全て強制適用し、全テストパスワードをブロックした。2FAも対応済みだ。NordVPNやExpressVPNも良好な結果だったとされている。
日本市場での注目点
日本でも主要VPNサービスはほぼ全て契約可能で、NordVPNやExpressVPN、Surfsharkなどは日本語UIを持ち、月額500〜2,000円前後で利用できる。
- 今回不合格となったFastestVPN・Hotspot Shieldなども日本からサインアップ可能なため、現在利用中の場合は乗り換えを検討すべきだろう
- 2FAはGoogleアカウントや銀行でも標準化されているが、VPN側が非対応の場合そもそも設定できない。サービス選定時の評価基準として明示的に確認することを勧める
- 今回の調査はあくまでアカウント認証の話であり、VPNの通信暗号化品質とは別軸であることに注意が必要だ
筆者の見解
「VPNを使っているから安全」という思い込みが、今回の調査で揺さぶられた人は少なくないはずだ。
セキュリティは「禁止」ではなく「仕組み」で担保するものだと筆者は考える。強力なパスワードポリシーと2FAの強制適用は、ユーザーに余計な負担を課す施策ではなく、安全を売りにするサービスが当然果たすべき設計責任だ。ユーザーが「公式の仕組みの中にいれば自然に守られる」状態を作ることこそが、サービス提供者の本来の役割である。
VPNを選ぶ際は、価格や速度だけでなくアカウントセキュリティのポリシーも評価軸に加えてほしい。Tom’s Guideの調査はその判断材料として十分に使える内容だ。今回上位評価を得たSurfsharkやNordVPN、ExpressVPNは、「セキュリティの基本」を守っているという意味で、現時点では信頼できる選択肢といえる。
出典: この記事は Six top VPNs fail simple password tests – and many more don’t support 2FA の内容をもとに、筆者の見解を加えて独自に執筆したものです。