プライバシー特化VPNとして高い評価を受けるMullvad VPNが、2026年5月20日にセキュリティ上の脆弱性を公表した。米テクノロジーメディア「Tom’s Guide」がレポートしたこの問題は、VPNサーバーを切り替えてもユーザーの行動が追跡可能になるという「フィンガープリント脆弱性」だ。修正は数週間以内に展開予定だが、影響を受けるユーザーには今すぐできる対処法がある。
脆弱性の仕組み――なぜサーバー切替が無意味になるのか
Mullvadのアーキテクチャでは、各サーバーがIP枯渇やブロック回避のために複数の出口IPアドレス(exit IP)のレンジを持つ。各ユーザーはWireGuardの暗号化キーに紐づいたトンネルアドレスの「相対位置」に基づいてIPが割り当てられる仕組みだ。
問題はこの一貫性にある。サーバーAで「IPレンジの40%の位置」にいたユーザーは、サーバーBに切り替えても同じ約40%の位置のIPを割り当てられる。この固定した「位置パターン」を複数サーバーにまたがって観測すれば、第三者がサーバーをまたいで同一ユーザーを特定できてしまう。
Tom’s Guideの報告によると、この脆弱性は独立したセキュリティ研究者によって2026年5月15日に発見・報告された。Mullvadは迅速に対応し、5日以内に公式声明と詳細な技術解説をブログで公開している。
海外レビューのポイント
評価できる点
Tom’s Guideの記事では、Mullvadの対応スピードと透明性が高く評価されている。脆弱性の技術的詳細を隠さずに開示し、ユーザーが監視できる修正状況ページまで設けた姿勢は、プライバシーを標榜するVPNプロバイダーとして誠実だ。また修正がサーバー側で完結するため、ユーザー側のアプリアップデートが不要な点も好評価だ。
気になる点
Tom’s Guideも「Mullvadにとって珍しい問題」と評しているように、プライバシー特化VPNとして設計上の副作用が長期間見過ごされていた点は重い。複数の出口IPを持つアーキテクチャは過密化とIPブロック対策として合理的だが、その結果生じる位置パターンの固定化という副作用は事前に気づけた可能性がある。
影響を受けるユーザーと今すぐできる対処法
影響を受けるのは限定的
実際に影響を受けるのは、「オンラインセッションを分離する目的でサーバーを切り替えているユーザー」に限られる。通常の利用では、プライバシーへの実害は限定的だ。
Mullvad公式が推奨する一時的な対処法
- Mullvad VPNアプリを開く
- アカウントからログアウト
- 再度ログイン
- 新しいサーバーに接続
この手順でWireGuardキーが再生成され、フィンガープリントのパターンが断ち切られる。サーバー側の恒久的な修正は数週間以内に順次展開予定で、アプリ更新は不要だ。
日本市場での注目点
Mullvad VPNは月額約770円(5ユーロ)の定額制で、メールアドレス登録不要・現金払い可という高い匿名性が特徴だ。日本語ドキュメントも整備されており、プライバシーに敏感なエンジニアや研究者を中心に利用者がいる。
NordVPNやExpressVPNと比べると知名度は低いが、「アカウント番号のみで利用可能」という設計は他のVPNにはない差別化ポイントだ。今回の脆弱性が修正された後も、このポジショニングは変わらない。
また今回の件は業界全体への問題提起でもある。NordVPNやSurfsharkなど他の主要VPNも複数の出口IPを持つ場合があり、Mullvadの公開をきっかけに業界横断での類似問題の洗い出しが進む可能性がある。
筆者の見解
今回の件でまず評価したいのは、Mullvadの「隠さずに開示する」姿勢だ。セキュリティ上の問題を発見した際に、技術的詳細まで含めて迅速に公開する企業は多くない。特にVPN業界は信頼が命であり、不都合な事実を隠すインセンティブが大きい中での透明な対応は、同業他社が学ぶべきモデルだと思う。
一方で、「使えば完全に安全」というVPNへの過信は改めて見直す必要がある。今回の脆弱性自体は深刻ではないが、プライバシーツールであっても動作原理を理解しておくことの重要性を再認識させる事例だ。
セキュリティは「禁止ではなく安全に使える仕組みを」が基本だが、仕組みを整備しても人間の思い込みが穴になることがある。使っているツールが何を保護し、何を保護しないかを正確に把握することが、プライバシー保護の出発点になる。
出典: この記事は Mullvad VPN discloses fingerprinting flaw that could track users across servers – you may need to act now の内容をもとに、筆者の見解を加えて独自に執筆したものです。