著者アーカイブ takahashi

takahashi 著者:takahashi

意外と分からないインターネットの仕組み…DNSのキャッシュ時間(TTL)とは

今回は、ホームページなどをWeb上に公開している方向けです。
自分のサイトを持っている方の多くは、”独自ドメイン”をもっている方が多いと思います。

インターネット上で接続先のサーバーを指定する際、本来は192.0.2.1のようなIPアドレスで指定する必要があります。
しかし、数字だけのアドレスは人間からすると非常に覚えづらいですよね。そこで出てきたのが”ドメイン”という仕組みです。

ドメインの詳しい仕組みについては、こちらのサイトにおまかせし、今回は割愛します。
ドメインとは?をわかりやすく解説します – カゴヤのサーバー研究室

このドメインなのですが、IPアドレスとドメインを紐づける”対応表”を公開しているサーバーがあり、このサーバーをDNSと呼びます。
例として、DNSの仕組みをexample.comというドメインのIPアドレスを調べるときの流れをおって説明します。

まず、ユーザーから一番近いDNS(たとえば、自分の所属する組織が管理しているDNS、プロバイダが管理するDNSなど)へ問い合わせが行われます。このDNSをリゾルバと呼びます。最初に問い合わせを受けたDNSは自身が管理するドメインとIPアドレスの対応表にexample.comが存在していないか確認をします。

もし、自身の管理する対応表にドメインが存在していない場合は、最上位のDNSへ問い合わせを行います。このDNSを”ルートDNS”と呼びます。
ルートDNSでは各TLDのついたドメインはどのDNSへ問い合わせれば情報が引き出せるか、という情報のみを持っています。例えば、example.comであれば”.com”のドメインはどこのDNSへ問い合わせればいいのかをルートDNSが教えてくれます。
次にリゾルバは.comを管理するDNSへ問い合わせを行います。ここで、”example.com”とIPアドレスを紐づけているDNSのIPアドレスを教えてくれます。リゾルバはさらにそのDNSサーバーへ問い合わせを行うことで、初めてexample.comのipアドレスを入手することができる仕組みになっています。

このexample.comのIPアドレスを持っているサーバーのことを”権威DNS”と呼びます。
権威DNSでは、具体的に下記のような情報を持っています。

・管理しているドメインのIPアドレス・ホスト名
・Aレコード(ドメインに対応するIPアドレス)
・MXレコード(ドメインに対してメールを送付された際に担当するメールサーバーのホスト名)
・TXTレコード など

これらの情報をひっくるめてレコードと呼びます。
先程のリゾルバにキャッシュ機能がある場合、これらの情報を権威DNSから取得すると、自身の対応表にこの情報をコピーし、再度自身に対して同じドメインの問い合わせが来た場合、自身の対応表の情報を直に渡すことで、問い合わせの時間を短縮しています。
この仕組みをもつDNSを”キャッシュDNS”と呼びます。

例にしているドメインは違いますが、仕組みはこんな感じです。

引用元:cman

今回ご説明するTTLとは、キャッシュDNSが権威DNSからコピーした情報の”有効期限”です。この情報は権威DNSか各レコード情報と一緒に持っています。
有効期限が過ぎた情報は、キャッシュDNS内の対応表にあったとしても無視され、再度ルートDNSへの問い合わせが行われます。

いろいろと説明してしまいましたが、簡単にまとめると
・DNSには元のデータを持つ権威DNSと、データのコピーを持つキャッシュDNSがある。
・DNSがもつIPとドメインの対応情報(レコード)にはTTLという有効期限がある。
・キャッシュDNSは権威サーバーの値をコピーし、有効期限が切れるまでキャッシュDNS内の対応表に保持する。

となっています。
逆に言うと、自分の持っているDNSの情報を書き換えても、このTTLが過ぎるまでは古い情報がキャッシュDNSに保持されている可能性があるということ。

例えば自分のサイトを別のサーバーへ移動する場合を考えた時、IPアドレスをDNSに設定しなおすことになりますが、設定変更した時間から前に指定していたTTL時間が経過するまでは、古いサーバーにもアクセスが来る可能性を考慮しなければいけません。

もし頻繁にIPアドレスが変わる可能性があれば、権威DNSのTTL時間を短くしておくのがおすすめです。
ただし、TTLを短くすると権威DNSや上位のDNSに対してかかる負荷が大きくなるので、注意が必要です。まだ、この理由でTTLの変更を禁止しているホスティング業者もあります。

DNSの仕組みは一見複雑ですが、知っておくと自分のサイトの運営の際、役に立つこともあると思います。
頭の片隅にも入れていただければ幸いです。

takahashi 著者:takahashi

長野 諏訪市のフリーWi-Fi”すわなび”


先日、長野に旅行に行ってきました。
一泊二日の旅行だったのですが、諏訪湖周辺をめぐっていて気づいたことが。
引用元:諏訪市
いたるところの施設や、諏訪湖周辺で、”すわなびSPOT”というフリーWi-Fiが飛んでいました。
このフリーWi-Fiは誰でも無料で利用ができる点に加え、接続直後の初回の画面で、諏訪市周辺の観光スポットを案内するページ、”諏訪をあいく“が表示されるとのこと。
引用元:諏訪市

また、諏訪市は観光案内アプリも公開しています。

すわなび – App Store

すわなび – Play Store

と、観光案内にかなり力が入っています。
観光地の多い諏訪市ならではの工夫ですね。

自分も今回初めて諏訪市へ行ったのですが、”景色がきれいな場所がある”という情報しか知らなくて、それ以外の見どころがわかりやすくまとめられている場所があるのはとても助かりました。

諏訪市、本当にいいところなので是非行ってみてください!

ちなみに、宣伝になりますが、浜松市も”HAMAMATSU Free Wi-Fi”という、フリーWi-Fiを市内に多数展開しています。

HAMAMATSU FREE Wi-Fi

こちらも登録不要でどなたでも無料で使えますので、浜松市にいらっしゃった方、浜松市にお住まいの方は是非じゃんじゃん使ってみてください!

takahashi 著者:takahashi

Appleが異例の発表会で新型iPadを発表!話題の”あの”アクセサリにも対応!!

昨日の夜、Appleは定例のWWDCとは別の、異例の発表会(Let’s take a field trip.)を行いました。
その中で発表されたのはなんと新型のiPad(第6世代)!

そしてついにiPad Pro以外では初となる、ApplePencil対応となりました!!

Apple Pencil は筆圧検知に対応しており、精度も非常に高いと話題になりました。(一部の絵描きの方の間では、いままでデファクトスタンダードだったWacom社製タブレットよりも性能がいいと言っている方もでてきています。)

Apple Pencilの唯一の難点は、iPadの最上位モデル”iPad Pro”にしか対応していなくて、Apple Pencil(10,800円(税抜き))も合わせるとかなり高額になってしまっていたのですが、今回発表されたiPadは Wi-Fi 32GBモデルで37,800円(税別)という、比較的お手頃な価格になっていて、手が届きやすくなった印象です。

ApplePencilを使うためにiPad Proを買おうかと悩んでいた自分にはかなりの朗報でした。
これは欲しい…

今回の発表会で、ハードについてはメインはiPadのみだったようです。イベント内では他にもアプリケーションのアップデートの発表なども行われたようです。
発表の全体的な内容については、GIZMODOさんの記事でまとめられています。

【Apple Pencil対応、299ドルのiPadが登場!】Appleの発表イベント「Let’s take a field trip.」のキーノート実況 – GIZMODO

なお、かねてより噂されていた廉価版macbook Airと、新型iPhone SEについては残念ながら発表はなかったようです。
次回の発表会に期待ですね。

takahashi 著者:takahashi

Mac版Twitterクライアント、突然の終了

先日、SNSサ―ビス”Twitter”を運営するTwiitter社がMac版公式クライアントのサポートを突然終了するという通知を行いました。

Mac版公式Twitterアプリ、突然の提供終了 – ITMedia News

記事にもある通り、現在AppStoreからも削除されています。
更に、自分の環境では、インストール済みのMac版Twitterクライアントもエラーが表示されTwitterに接続できなくなっていました。
恐らく、コンシューマーキーも削除されたものと思われます。

Mac版Twitterクライアントは、Twitterが2010年に買収した米AtebitsのMacおよびiPhone向けTwitterクライアント「Tweetie」ベースのアプリ(ITMedia News)で、ユーザーストリーミングに対応した数少ない公式アプリでした。
使い勝手も非常によく、愛用していたのですが、終了してしまったのは残念です。

ただ、UserStreamAPI自体が今年の6月末で終了予定であったり、AppleがMac版アプリとiOS版アプリの統一を行う予定であったり、という状況もあり、その準備のために消した可能性も考えられるようです。

とはいえ、サポート終了後にいきなりコンシューマーキーも削除してしまうという対応はちょっと乱暴にも思えますし、ユーザーの不信感を煽っていないか気になるところです。
Twitterは同社の身売りに失敗してから、かなりいろいろな動きをしていてそのたびに騒ぎになりましたが、どれをとっても実際の思惑はどこにあるのか、以前として不透明な状況です。

takahashi 著者:takahashi

WindowsのGUI上で簡単にシンボリックリンクを作成できるツール’Link Shell Extension’

シンボリックリンク。Windowsではかなりマイナーな存在なので、馴染みのない方も多いかと思います。
基本的に、ショートカットのようなものであることには変わりがないのですが、役割の面で大きく異なってきます。

通常のショートカットは、ファイルをダブルクリックすることで、あらかじめ設定されていたパスのアプリやフォルダを直接開かなくてもいい、という利点があります。
ただし、アプリから見るとただの”ファイル”であり、ショートカットをどのように扱うかはアプリに依存します。また、ショートカット経由のアクセスでも、実体ファイルの場所は元ファイルがある場所にある、という認識となります。(ショートカットを開くと、元ファイルのパスが開きます。)

一方のシンボリックリンクは、ファイルシステムベースでの”リンク”でアプリ側が特別に対応していなくても認識してくれます。
加えて、シンボリックリンクを開くと元ファイルの場所へジャンプするのではなく、シンボリックリンクのある場所に、元ファイルと同じファイルがあるように扱われ、シンボリックリンクに対して内容の変更を行うと、元ファイルに対しても同じ変更が行われます。

例えば、別々の場所に同じファイルを置き、内容も完全に同期しておきたい、時があります。
こういった時にシンボリックリンクは便利です。

このシンボリックリンクですが、Windowsでは標準でコマンドプロンプトからでしか作成することができません。
ほんのたまに使う分なら問題はないのですが、使いたい頻度が高いと、毎回コマンドプロンプトを開いてコマンドを打つのはちょっと面倒です。

LinuxなどではGUIからシンボリックリンクを作ることができるようになっていることが多いので、Windowsでも同じようなことができないかなーと調べて見つけたのが
‘Link Shell Extension’です。

Link Shell Extension公式サイト
Link Shell Extension – k本的に無料ソフト

インストール後、ファイル/フォルダを右クリックするとコンテキストメニューの中に”リンク元として選択”というメニューが出てきます。

そのあと、何もないところを右クリックすると”リンクの作成”が出現し、ポイントするといろんな種類のリンクが表示されます。
この中から”シンボリックリンク”を選択すると

こんな感じでシンボリックリンクが作成されます(要管理者権限)

なお、右ドラック&ドロップでも同様の操作ができます。

なお、シンボリックリンクは、リンク自体は削除しても元ファイルは消えませんが、シンボリックリンクの中にあるファイルを削除すると、元ファイルも削除されてしまうので注意が必要です。
また、種類によってはリンクを消した時点で元ファイルも消えてしまうものがあるので、こちらも要注意です。

それぞれのリンクの特性を理解して、適材適所に使っていけば、ファイル管理がかなり楽になりますよ。

takahashi 著者:takahashi

Gitバンドルのbashを使ってWindowsのcmdをUnixっぽくしてみる

クライアントマシンのOSはもっぱらWindowsを使うことがほとんどなのですが、サーバーはLinux/Unix系OSを使用することが多いです。
現行Windowsでは、OSに必要な操作はほぼGUIで完結するので、CUIで触るのはLinux系OSがほとんどでした。

ところが、開発やサーバー管理などをしているとWindowsを使っていてもCUIに頼らないといけない場面というのがでてきます。
普段使い慣れているLinuxとかなり使い勝手の違うWindowsのシェルは、いざ触ってみると戸惑うことが多いです。
また、Linuxは未だにCUIで使われる機会がおおいためか、CUIベースのツールはかなり充実しています。これらのツールは、さくっとサーバーの状態を確認したいときに非常に便利なのですが、Windowsでは標準で搭載されておらず、インストールもちょっと手間がかかるものも多いです。

かといって、何か操作する度にLinuxが動いているマシンにログインするのはちょっと面倒です。
そこで、Unix/Linux系で使えるポピュラーな機能の一部をWindowsに導入できないかなーと考えていろいろ調べていました。

VMで動かすとファイルのやりとりとかいろいろ不便。
かといってCygwinやWSLみたいにガッツリUnixライクな環境までは必要ない。

という方向けの、Windows上でネイティブに動く、簡単に”UNIXっぽい操作環境”を作る方法を紹介します。

実は、あるツールを入れていると、簡単にWindowsのコマンドプロンプトをUnixっぽくできます。
バージョン管理ツールのGitです。

実はGitをインストールすると、Unix/Linuxで非常によく使われるシェル”bash”のWindows版がついてきます。

今回はこれを利用します。
Gitのインストールが完了していれば

C:\Program Files\Git\bin

あたりのフォルダの中に、
“bash.exe”
というファイル名でインストールされているかと思います。
これをコマンドプロンプト上で開けるように、環境変数内の”Path”に、C:\Program Files\Git\binを追加しておきます。


スタートから”環境変数”と検索して”環境変数を編集”をクリックします。


“ユーザー環境変数”内のPathを選択し、”編集”をクリック


“新規”をクリックして、

C:\Program Files\Git\bin

を追加します。

これで準備完了。
コマンドプロントで

bash

と入力すると、なんとWindows上のcmdでbashが使えてしまいます。(※WSLとコマンド名がかぶってしまったため、別の名前で起動するように書き換えています。)


lsやcat tail grep mv cp などの基本的なコマンドはこのbash.exeを起動するだけで使うことができます。

ちなみに、Windowsにインストールされているコマンドもbash上から実行が可能です。

それ以外の基本的なコマンドは、以前紹介したchocolateryでインストールすれば、そのままbash上でも使えます。
なお、bash起動時のaliasの設定などは、LinuxやUnixと同様に、自分のユーザーフォルダに”.bashrc”ファイルを作成して記述すれば読み込んでくれます。

cmdやPowerShellがちょっと使いづらいなーと感じたときに、bashに切り替えるだけで、操作がかなりしやすくなって便利です。
LinuxerやUnixerなWindowsユーザーの皆さんは是非試してみてはいかがでしょうか?

takahashi 著者:takahashi

Torの仕組み

よくハッカーが出てくる映画で、「クソッ、複数の海外サーバーを経由されていてアクセス元が特定できない!!!」なんて展開がよく出てくるかと思います。
実際のところ、現実でそんなことが可能なのかと思ってしまいますが、実際に複数のノードを経由することで自分のアクセス元情報を隠して相手サーバーに接続することができる仕組みが存在します。
しかも、それを利用するのに映画に出てくるハッカーのような特別な知識は必要ありません。誰でも利用できます。

この仕組みは”Tor”とよばれています。
名前を聞いたことがある方は多いのではないでしょうか。

Torの仕組みはちょっと面白いです。
まず、Torを使ったネットワークでは、デフォルトで必ず3つのノードを経由するようになっています。

匿名通信「Tor」はどういう仕組みなのか分かりやすく解説 – Gigazine

◆リレーのタイプ
デフォルトではTorは3つのリレーを経由することになっています。この3つのリレーはそれぞれ特定の役割を担っています。

・ガードリレー(Guard Relay)
Torネットワークの入り口部分にあるリレーが「エントリー/ガード リレー」です。安定して高帯域を持つと示されたリレーがガードリレーに選ばれます。

・中間リレー(Middle Relay)
「中間リレー」はガードリレーから出口リレーへトラフィックを中継するリレーです。このリレーを配置することで、ガードリレーと出口リレーがお互いの情報を得られないようにしています。

・出口リレー(Exit Relay)
「出口リレー」はTorネットワークの終端にあるもので、その名の通り通信の出口となる部分です。出口リレーが最終的な目的地にトラフィックを送ることになります。

以下の図はTorネットワークでの経路を簡単に示したもの。ユーザー(Client)はTorネットワークの入り口となるガードリレーから中間リレーを経由し出口リレーに到着し、最終的な目的地となるウェブサイトなどに到着するというわけ。もちろんこの経路は複数あるリレーの組合わせなので、一定時間ごとに変更されるようになっています。

ただ、これだけではまだ完全に安全とは言えません。
各ノードに、どのIPのユーザーのデータがどこへルーティングされたかが各ノードに記録される可能性があるためです。

そこで、TorはTorネットワークへ情報を送信する前にデータを暗号化し、さらにノードを経由するごとに多重に暗号化をかけていくことで、どのネットワークからアクセスされたのかを、最終的に把握できないようにしています。
これにより、Torネットワークでは、提供される各中継ノードが信頼できなくてもセキュア性を保てる設計になっています。


Gigazineより引用
一見するとただのアンダーグランドなツールに見えてしまいますが、なぜこんな仕組みが存在しているのでしょうか。
そこには社会的な理由があります。

それは、インターネット上の自由な表現を政治的な検閲や弾圧から守る必要があるからです。
日本に住んでいるとピンとこないですが、国によっては、インターネット上での情報取得や、発言を検閲し、意図的に制限、場合によっては懲罰を行う国があります。
しかし、インターネットは本来的に自由な空間です。誰でも自分の好きな意見を発信し、好きなように表現をすることができます。
そのインターネットに対して、言論の統制を目的とした介入を行う国が、残念ながら出てきてしまいました。

自由な表現を保護するため。自由な発言しても迫害を受けないように保護するため。
Torは自由な思想が認められない国々にいる人々の人権保護に、一役買っているというわけです。

どんな技術も、使い方次第では薬にもなるし、毒にもなります。そしてそれは強力であればあるほど影響力も大きくなります。
Torが強力なのは必然でした。”権力”という、強力な圧力に勝てるだけの物が必要だったからです。

願わくば、Torのような仕組みに頼らなくてもインターネットを安心して自由に楽しめるような世の中になってほしいものですが、現状を見るとその日が来るのはまだまだ先のことなのかもしれません。

takahashi 著者:takahashi

世界中のサイバー攻撃を地図上に可視化しているサイト

サイバー攻撃という、かつては映画にしか出てこなかったようなワードが当たり前のように聞こえてくるようになってしまった昨今。
そんなサイバー攻撃の状況を、地図上にわかりやすく可視化するサービスを提供しているところがあります。

今回は、個人的に分かりやすいと思ったサイトをいつくか紹介します。

NORSE

NORSEは運営元のNORSE社が世界各地に設置したハニーポット(一見脆弱性対策されていない、攻撃者が攻撃しやすいように見せかけわざと攻撃させることでその攻撃手法を解析する目的で設置されるホスト)から受け取ったデータを解析し、発信元と発信先、使用プロトコルを地図上に可視化してリアルタイムに表示しているサイトです。

プロトコルごとに色分けされており、視覚効果もビームを打った/打たれたような表現になっていて非常に分かりやすいです。
見ていると常に何かしらドンパチやっている様子がうかがえますが、まれに大量のトラフィックが見えることがあり、”あっ、集中攻撃されているな…”というのがよくわかるときもあります。

CYBERTHREAT REAL-TIME MAP(カスペルスキー)

有名なセキュリティソフトベンダーであるカスペルスキーが運営しているサイバー攻撃可視化サイトです。
こちらはカスペルスキー社製の各製品から報告された脅威の統計をリアルタイムで表示しているようです。

セキュリティソフトが検知する情報なので、ネットワーク経由の攻撃だけでなく、ウイルスやスパイウェア、脆弱性の検出なども表示されます。

Digital Attack Map(Google)

こちらはGoogle Ideas提供の攻撃可視化サイト。
内容としてはDDoS攻撃元の発信元と発信先を可視化しています。

自分が確認した時点でも、常時攻撃のトラフィックが表示されていて、ちょっと衝撃的です。
ただ、どういった仕組みで取得されているのかがよくわからかったので、何を基準にしてDDoSと普通の通信を見分けているのかは不明です。
もしかすると、一部通常の通信も混じっているかもしれませんね。

ちなみに、UI的にはちょっと見づらいですが、日本でもNICTという団体が可視化サービスを公開しているようです。
NICTERWEB – NICT

見ていると世界中のサイバー攻撃の規模の大きさにただただ驚くばかりです。
もし自分がこれらの攻撃の対象になってしまったら…そんな最悪な事態を想定しながら、できるところから対策していきたいですね。

takahashi 著者:takahashi

昔のMac OS(System 7)やWindows 3.xがブラウザ上で動作するサイト

僕は昔からちょっとしたOSマニア(といってもとりあえず一通り触りたいだけ)で、Windowsは勿論、MacOSとLinuxディストリのいくつか、ChromeOS、iOS、Andoridと現代のいろいろなOSは一通り触れてきました。
現行のどのOSでも、設計思想は違えど非常に使いやすいUI/UXをもつGUIを供えており、どれか一つのOSに振れたことがある人であれば、他のOSをさわっても基本操作はだいたい一目でわかるぐらいに簡単に操作できるようになっています。

各OSの設計思想の違いを感じることができるのが”OS弄り”の楽しさであるのですが、触っているうちにふと、”じゃあこのOSの黎明期はどんなUIだったのだろう”という興味がわいて来ることがあります。

そんなわけでいつか機会があれば触ってみたいなーと思っていたのですが、古いOSのインストールディスクはなかなか入手できる代物ではないですし、入手できたとしても、現行の物理マシンや仮想マシン上で動くのか、といった問題があり、なかなか動く形で触る機会というのはありませんでした。

そんな中、先日ネットサーフィンをしていたらこんな記事を発見。

懐かしのMac OS System 7をブラウザ上でエミュレートして再現できる「PCE.js」- Gigazine

Internet Archive、System 7のアプリを利用できるコレクションを公開 – スラド

なんとブラウザ上で古いOSを動作させることができるサイトがあるらしい!
早速触ってみました。

サイトを閲覧するや否や、Machintosh Plusをモチーフをした絵が表示され、絵の画面部分に、本当に昔のMacOS(System 7)が起動しました。


シャットダウンもリブートも行うことができます。

最初に出てくる”Kidpix”は…

お絵かきソフトでした。

ちなみに、Mac以外にもWindowsの旧バージョンも見ることができます。

さわっていて気づいたことは、MacOSは白黒の時代に販売されたOSでも、デザインはほぼ似ており、簡単ながらエフェクトもすでについていたことには驚きました。
また、Windows3.0も思った以上にカラフルで、操作しやすさを考えていることがよくわかりました。

今のOSといろいろな部分を比べてみると、それぞれのOSの特徴や違いは再発見できてとても面白いと感じました。
興味のある方は見てみてはいかがでしょうか。

takahashi 著者:takahashi

[あなたのVPNは大丈夫?]VPNサービス利用の注意点

最近大幅に普及してきた公衆無線LAN。
ものによってはパスワードを入れなくても接続が行える無線LANもあり非常に便利ではあるのですが、これらの無線LANは無線で送受信されるデータが暗号化されておらず、だれでも簡単に傍受可能であることは有名な話です。

最近では対策としてVPNサービスを利用して通信経路を暗号化するユーザーも多くなっているようです。
VPNとは簡単に言うと、暗号化技術を使ってインターネット上に「仮想的に自分専用の通信線を引く」ことができる技術です。
VPNを使えば、例えば遠隔地からインターネット経由で自宅のLANや会社のLANに直接接続しているのと同じ状態を実現することができます。

VPN – ネットワーク入門サイト

つまり、一度VPNのコネクションさえ確立してしまえば、たとえどんな経路を使っていたとしても自宅や職場の拠点のLANに安全に接続できる…!
…なんて思っている方が多いのではないでしょうか?

確かに、VPNを利用すれば、自分のPCからVPNサーバー(ゲートウェイ)までの通信の安全性は(暗号が解読されない限り)担保されます。
しかし、その先の経路についてはVPNの保護のはんいがいであり、第三者の目にさらされる可能性があります。
なぜなら、VPNは飽くまで遠隔地のLANに接続する機能であり、そこから目的地までのアクセスはVPNでつないだ接続先のネットワークが担当することになります。
そこにながれるデータはVPNによる暗号化はされていないので、同じ接続先のLANに接続する人や、そのLANの管理者、さらにその上位のネットワークの管理者に傍受される可能性も考えなければいけません。

アクセス先が自宅のLANや社内LANであれば、同じLANに接続するのは身内の人間のはずなので、たとえ見られたとしても問題はさほどないでしょう。
ただし、もし接続先がVPNサービス業者が提供するような、公衆VPNのようなものの場合、場合によっては同じLANに接続する別の利用者や管理者によって自分の通信がのぞき見される可能性があることを頭の片隅に置いておく必要があります。
つまり、VPNサービス提供業者が確実に信頼できるところであればいいのですが、もしあまり信頼できない、ということであれば、安全性のレベルとしては公衆無線LANに直接接続するのとさほど変わらなくなってしまう、ということになります。

Android5.0以降でVPNに接続すると、こんな警告が通知領域に表示されます。

上記のようなことがあるので、注意してくださいね。という警告です。
ただ、ここまではっきりと警告が出てしまうとちょっとびっくりしてしまいそうな人も出てきそうですね。

ちなみに、VPNサーバーは必ず業者のサービスを利用する必要はなく、ある程度の知識とVPN接続先にするネットワークに十分な帯域があれば、だれでも自分のネットワークに設置することができます。

自分の場合は、Raspberry Pi 3SoftEther VPNというフリーのVPNサーバーソフトをインストールして利用しています。
自分の自宅のネットワークを経由してインターネットへ接続するので、どこかのVPNを借りるよりも個人的には安心できるかなと思います。
普通のPCにもインストール可能なので、是非検討してみてはいかがでしょうか?

インターネット上ではあらゆる仕組みが動いていますが、その基本的な動作を理解していないと落とし穴にはまってしまうことも少なくありません。
ざっくりとでも仕組みを理解して、インターネットをより便利に使いこなしていきたいですね。


参考:
今さら人に聞けないVPN入門…VPNの神話をはぎ取る – TechCrunch Japan