「鍵マークのSSLは安全」は今では古い非常識!~httpとhttpsの違いなど誤ったITの常識を見直そう

SSLは安全は今や非常識
「鍵のマークがついた(点灯した)httpsのサイトは安全」は、まちがった危険な考え方です。SSLもhttpsも今では詐欺サイトでも使われているため全く信用できません。「添付ファイルは暗号化してパスワードを送信」も否定されました。
ITやデジタルの変化は早く、数年前の常識は今では非常識なのです。
「鍵マークhttpとhttpsの違いの本当の意味は何か?」など危険を避ける新常識をやさしく解説します。

古い非常識その1.「鍵のマーク(SSL)がついているhttpsサイトは安全」はウソで危険な常識

SSLは今では安全の目印ではない!SSLがついていても危険なサイトは無数にある。

  • 「鍵マークがつくサイトは安全です」
  • 「悪意あるWebサイトにひっかからないよう、URLバーにhttpsや鍵マークがあるか確かめましょう」

の教えは、今でもあちこちで見られ、セキュリティ情報のサイトや教本などにも堂々と記載されています。しかしこれは全く昔の古い考え方で、今や「完全な間違い/非常識」です!

そもそもSSLとは、「ブラウザーとサイトの間のやりとりを暗号化する」という規格に過ぎず、サイトの正当性を証明するものではありません。

 

「SSLとは?」~SSLは安心の印ではなく、通信技術の規格に過ぎない

皆さんはSSLと言う言葉をご存知でしょう。SSLに対応しているサイトを訪問すると、ブラウザーのURLの前に、右の写真のように「鍵マーク」が表示されます。
さらにSSL対応のサイトのURLには「https」と従来の「http」に「s」が追加で表示されます。
デジタルキーパーのSSL
デジタルキーパーのURL表示

SSLとはインターネットの世界で情報をやりとりする際、サービス側のサイトと、スマホやPCでお使いのブラウザー間とのデータのやりとりを暗号化して、途中で盗み見る事をできなくする技術の規格です。
※(厳密に言うと現在ではTLSというSSLの上位の規格にバージョンアップされていますが、世間的にはSSLが通称として通っているのでこのまま使います)

SSLに対応したサイトでは、

  • アドレスバーのURLの冒頭は「http」ではなく「https」と「s」が付く。
  • ブラウザで見ると、URLが表示されるバーの端に「鍵のマーク」が表示される。
  • ブラウザーによっては「安全として緑色表示」される

ため、「容易に判別できる鍵マーク=安全」という常識がありました。

今でも「SSL鍵マークがついているか?URLがhttpsか確認しましょう」といった表現がしばしば見ることができます。

しかし、実は詐欺犯だろうが誰でも「SSL証明書」を取得してサイトに組み込みめば、誰でもSSLマークをつけることができます。

決してサイトやコンテンツの安全性を示す記号ではありません。

 

その昔、SSL導入はたしかに「信頼の証」だった。でも今では?

ひと昔前、SSLを使うためには申請や審査も面倒で、高額なお金もかかり、「信頼性の高い企業が運営するサイトしかSSLを導入していなかった」時代が確かにありました。

結果として、その時代はhttpsからURLがはじまる「鍵付きサイト」は「信頼できる企業組織のサイト」という常識ができあがったのでしょう。

しかし、それは10年以上前のこと。デジタルの世界では大昔です。

 

2018年からはSSLが標準になったため、SSLは一般化した

ところが、セキュリティ意識の高まりにより、サイト側も次第にSSLを使うことが広まるようになりました。

2018年7月にはGoogleのChromeでは「SSLに対応していないサイトは危険」と警告表示されるようになりました。

これを契機にブラウザーだけでなく、PCやスマホに入っているセキュリティソフトも「SSLに対応されていないサイトは危険」と表示されるようになってしまいました。

こうなると、SSLなしのサイトは誰も見てくれなくなり、SSLは必需品となりました。

今では証明書を発行する業者も増え、コストも手間も大きく下がり、今ではほとんど無料で、だれでもすぐに取得できるようになってしまいました

つまりSSLは通信の暗号化を守りますが、取得者やサイトの信頼性とは全く無関係なのです

 

今や「詐欺サイトもSSL導入済みでhttps~」なのに、ユーザーの常識がついていってない!

したがって詐欺サイトもしっかりSSLを導入し、「鍵マークが出ていることは当たり前」になりつつあります。

ところが、ユーザーが詐欺メールのURLをクリックして詐欺サイトに誘導されているにもかかわらず、

「鍵マークがついているから安心だ!」

と個人情報を入れてしまう方が後を絶ちません。

今ではフィッシング詐欺サイトの大半がSSL化されており、SSLは全く信頼性を見極める基準にはなりません。更新されない古い情報や常識の大きな弊害と言えます

 

さらにSSLに対応しているため増えるリスクもある

SSLは「ネットの通信で、サイトとブラウザー間とのデータのやりとりを暗号化して、途中で盗み見る事をできなくする技術」とご説明しました。暗号化されて中が見れなくなることは、実は危険にもつながります

皆さんのPCなどにはウイルス対策ソフトがインストールされていることが多いと思いますが、悪意のサイトがウイルスやマルウェアを送り込んできた際にSSLに対応して送られてくると、皆さんウイルス対策ソフトは読み取って検査することができなくなってしまうのです。

つまり巧妙なマルウェアを仕込んだ悪意のサイトほどSSLを完備することになってしまいます。

 

SSLでなく正しいサイトを見分ける方法は?

ドメイン名を確かめる

最も確実な方法はSSLの有無ではなく、URLを観察して、正しいドメインなのか?を確認することです。

正しいドメイン名は、検索して本当の企業やサービスのサイトに行けばわかります。また金融や通信など、詐欺メールが多い業界では、正当なドメイン名の一覧ちゃんと公表されているはずです。

SSLの証明書の情報を確認する。

SSLから信頼できるサイトなのか判別する方法もあります。

ブラウザーのSSLマークをクリックすることで、「そのSSLは信頼できる企業や組織が所有しているもの」と読み取ることができます。

無料のSSLや、犯罪者が取得したSSLでは、所有者の表示がわかりません。

ここを確認すれば、信頼性の証として使えます。

ただこれは専門的な知識と読み取る力が必要となりますので、どなたにもお勧めできる方法ではありません。

 

ブログ内の関連記事(新しいウィンドウで開きます)

URLの「httpのsの有無」には確かにセキュリティ上大きな違いがあります。しかし「sがついているから安全、鍵マークがあるから安心」は大昔の発想で、今では古くて危険な非常識です。どうして「httpsは安心の証ではないのか?」、URLのh[…]

httpとhttpsの違いを理解しよう

 

古い非常識その2.「8文字(8桁)で安全」などパスワードの危険な非常識とは?

パスワードの非常識その1「安全なパスワードは8桁(文字)」・・・今ではあっという間に解読されてしまいます!

広まっている最も危険なデジタルの常識は「パスワードの文字数」です

今ではさすがに4文字は見かけませんが、まだ「6文字以上」「8文字以上」と記載されているサイトやサービスがあまりに多いです。またセキュリティのサイトや参考書にも同様な記載が残っています。

しかしこれは完全に古い常識です。

パスワードを解読するさまざまな手法が編み出され、解読に使うパソコンの能力も飛躍的に高くなりました。

5年前は何ヶ月もかかった解読作業が、パスワードによっては、一瞬や数分で解読できてしまうこともあります。

詳しくは当ブログの以下の記事をご参照ください。

ブログ内の関連記事(新しいウィンドウで開きます)

「パスワードは文字種を組み合わせ8文字(8桁)以上」「時々変更しよう」。これは古い危険な情報です。内外の最新の解析や研究を検証した結果は「8文字パスワードは強度不足!」、また「強いパスワードを設定したら二度と変更の必要なし!」。パス[…]

パスワードをあらゆる手段で盗み出すハッカーのイメージ

 

パスワードの非常識その2「パスワードにはいろいろな文字種を使え」・・・かえって危険。文字種より長さが大切!

かつては「パスワードは8文字以上、英数字の大文字小文字を必ず使ってください」と説明されていました。

しかし解読のスピードが速まった今、文字種を増やしても、文字数が少なければあまり関係ないことが実験で確かめられています。とにかく長くすることが大切です

最低でも12文字、できれば14~5文字以上のパスワードを強くお勧めします。こうしておけば当分の間は安心でしょう。

 

パスワードの非常識その3「パスワードの定期的な変更すべき」・・・安全なパスワードは変更不要!

また「パスワードは月に一回変更してください」という記載もしばしば目にしますが、これはかえって短いパスワード/安易なパスワード/使い回しのパスワードを生み出す弊害となっています。

今では「長く安全なパスワードを使えば変更はしなくて良い」が常識で、セキュリティ会社も、総務省のような公的機関も同様の見解を発表しています。

長いパスワードは作り方のコツさえ覚えれば簡単に作ることができます

長いパスワードは、一旦作り方を覚えてしまえば。簡単に作れます。また記憶や危険なメモに頼るのではなく「パスワードマネージャー(パスワード管理ツール)」を使うことが最終的には最も効果的なパスワード対策となります。

詳しくは当ブログの以下の記事をご参照ください。

ブログ内の関連記事(新しいウィンドウで開きます)

コンピューターの進歩によってパスワードの作り方の基準は変わっています。今では「8文字(8桁)のパスワードは弱くて危険」で「強いパスワードは定期的な変更は不要」が正しい考え方です。どうして8文字では危険なのか?最新の研究を元に、最強のパス[…]

長くて安全なパスワードを作るヒント

 

 

古い非常識その3.「パスワード付きZIPファイル送信」は無意味で危険、すぐにやめるべき!

メールの安全性を高めるためにしばしは行われている「パスワード付きZIPファイルのメール添付=PPAP方式」。

  1. 添付するファイルを、適当なパスワードを使って暗号化したZIPファイルに変換する。
  2. ZIPファイルをメールに添付して送信する。
  3. 続いてそのZIPファイルのパスワードをメール送信する。

は、以前から「無意味だ」「かえって危険だ」と批判されていましたが、2020年11月、管内閣の平井デジタル改革担当相と河野行革担当相が民間の意見を採り上げ、官公庁での使用が停止されました。

「パスワード付きZIPファイルのメール添付」は効率を下げるだけでなく、暗号化のため「EMOTET」や「IcedID」という添付ファイルに潜む危険なマルウェアのセキュリティ検査ができず、感染を拡大してしまう危険まであります。

皆さんの会社や組織で今も行われているなら、すぐに廃止を提言しましょう。

ブログ内の関連記事(新しいウィンドウで開きます)

「何の意味があるのかな?」と思いつつも、毎日設定して送信している方も多い「パスワード付きZIPファイルの添付」のルール(PPAP方式)を平井デジタル改革担当相が「中央官庁では廃止する」発表しました。この作業は今では無意味なだけでなくかえ[…]

パスワード付きzipファイルは廃止しよう
ブログ内の関連記事(新しいウィンドウで開きます)

2021年3月からパスワード付きZIP添付ファイルから感染するマルウェアIcedID(アイスドアイディー)が拡大し多方面から注意喚起がなされています。ほぼ撲滅されたEMOTETと同様、IcedIDは情報漏えい他多くの被害を生み出す危険な[…]

新たな脅威「IcedID」のイメージ

 

 

まとめ:
「過去の常識は今の非常識」です。古い知識や情報は捨ててしまいましょう!

古い情報はリスクに直結してしまう

昔は正しいとされていたことが、時代を経ると誤った事に変わることは多々ありますが、進歩の著しいデジタルの世界ではほんの数年で常識ががらりと変わってしまいます。

誤った常識は、古いだけでなく、むしろ危険につながります。残念ながら、いろいろなサイトや解説書にも古い常識がそのまま記載されていることもあります。

技術の進歩は光だけでなく、陰の部分にも影響を与えている

デジタル機器や技術はすさまじい勢いで進歩しています。特に数年前までは予想もできなかった「AI」技術がITのあらゆる分野に進出してきて、続々と新しい手法が生み出されています。これらの新しい技術や手法は、効率を上げて生活を便利にしてくれるものですが、犯罪者も同時に活用しています。

特に「闇のデジタルの世界」では、優れた能力を犯罪に使ってしまうハッカーが多く、新技術はいち早く犯罪手段に活用され、対策が追いつかないほどです。

情報を参考にするときは「掲載日」や「更新日」を必ず確かめよう。

デジタルの安全やセキュリティに関わる情報を検索して探す際は、必ず「いつ記載された情報なのか」を確かめるようにしてください。3年以上前の情報はほとんど役に立たないことが多いのです。

残念ながらWikipediaにも、公的機関のサイトでも、平然と4.5年前の古い情報が記載されたままになっています。

とにかく3年以上前の情報は疑ってかかった方が安全です。