fbpx

「鍵マークのSSLは安全」は今では古い非常識!~httpとhttpsの違いなど誤ったITの常識を見直そう

SSLは安全は今や非常識
「鍵のマークがついた(点灯した)httpsのサイトは安全」は、まちがった危険な考え方です。SSLもhttpsも今では詐欺サイトでも使われているため全く信用できません。「添付ファイルは暗号化してパスワードを送信」も否定されました。
ITやデジタルの変化は早く、数年前の常識は今では非常識なのです。
「鍵マークhttpとhttpsの違いの本当の意味は何か?」など危険を避ける新常識をやさしく解説します。
目次
/ins>

古い非常識その1.「鍵のマーク(SSL)がついているhttpsサイトは安全」はウソで危険な常識

SSLは今では安全の目印ではない!SSLがついていても危険なサイトは無数にある。

  • 「鍵マークがつくサイトは安全です」
  • 「悪意あるWebサイトにひっかからないよう、URLバーにhttpsや鍵マークがあるか確かめましょう」

の教えは、今でもあちこちで見られ、セキュリティ情報のサイトや教本などにも堂々と記載されています。しかしこれは全く昔の古い考え方で、今や「完全な間違い/非常識」です!

そもそもSSLとは、「ブラウザーとサイトの間のやりとりを暗号化する」という規格に過ぎず、サイトの正当性を証明するものではありません。

 

「SSLとは?」~SSLは安心の印ではなく、通信技術の規格に過ぎない

皆さんはSSLと言う言葉をご存知でしょう。SSLに対応しているサイトを訪問すると、ブラウザーのURLの前に、右の写真のように「鍵マーク」が表示されます。
さらにSSL対応のサイトのURLには「https」と従来の「http」に「s」が追加で表示されます。
デジタルキーパーのSSL
デジタルキーパーのURL表示

SSLとはインターネットの世界で情報をやりとりする際、サービス側のサイトと、スマホやPCでお使いのブラウザー間とのデータのやりとりを暗号化して、途中で盗み見る事をできなくする技術の規格です。
※(厳密に言うと現在ではTLSというSSLの上位の規格にバージョンアップされていますが、世間的にはSSLのいう通称として通っているのでこのまま使います)

SSLに対応したサイトでは、

  • アドレスバーのURLの冒頭は「http」ではなく「https」と「s」が付く。
  • ブラウザで見ると、URLが表示されるバーの端に「鍵のマーク」が表示される。
  • ブラウザーによっては「安全として緑色表示」される

ため、「容易に判別できる鍵マーク=安全」という常識がありました。

今でも「SSL鍵マークがついているか?URLがhttpsか確認しましょう」といった表現がしばしば見ることができます。

しかし、実は詐欺犯だろうが誰でも「SSL証明書」を取得してサイトに組み込みめば、誰でもSSLマークをつけることができます。

決してサイトやコンテンツの安全性を示す記号ではありません。

 

その昔、SSL導入はたしかに「信頼の証」だった。でも今では?

ひと昔前までは、SSLを使うためには申請や審査も面倒で、高額なお金もかかり、「信頼性の高い企業が運営するサイトしかSSLを導入していなかった」時代が確かにありました。

結果として、その時代はhttpsからURLがはじまる「鍵付きサイト」は「信頼できる企業組織のサイト」という常識ができあがったのでしょう。

しかし、それは10年以上前のこと。デジタルの世界では大昔です。

 

2018年からはSSLが標準になったため、SSLは一般化した

ところが、セキュリティ意識の高まりにより、サイト側も次第にSSLを使うことが広まるようになりました。

2018年7月にはGoogleのChromeでは「SSLに対応していないサイトは危険」と警告表示されるようになりました。

これを契機にブラウザーだけでなく、PCやスマホに入っているセキュリティソフトも「SSLに対応されていないサイトは危険」と表示されるようになってしまいました。

こうなると、SSLなしのサイトは誰も見てくれなくなり、SSLは必需品となりました。

今では証明書を発行する業者も増え、コストも手間も大きく下がり、今ではほとんど無料で、だれでもすぐに取得できるようになってしまいました

つまりSSLは通信の暗号化を守りますが、取得者やサイトの信頼性とは全く無関係なのです

 

今や「詐欺サイトもSSL導入済みでhttps~」なのに、ユーザーの常識がついていってない!

したがって詐欺サイトもしっかりSSLを導入し、「鍵マークが出ていることは当たり前」になりつつあります。

ところが、ユーザーが詐欺メールのURLをクリックして詐欺サイトに誘導されているにもかかわらず、

「鍵マークがついているから安心だ!」

と個人情報を入れてしまう方が後を絶ちません。

今ではフィッシング詐欺サイトの大半がSSL化されており、SSLは全く信頼性を見極める基準にはなりません。更新されない古い情報や常識の大きな弊害と言えます

 

さらにSSLに対応しているため増えるリスクもある

SSLは「ネットの通信で、サイトとブラウザー間とのデータのやりとりを暗号化して、途中で盗み見る事をできなくする技術」とご説明しました。暗号化されて中が見れなくなることは、実は危険にも繋がります

皆さんのPCなどにはウイルス対策ソフトがインストールされていることが多いと思いますが、悪意のサイトがウイルスやマルウェアを送り込んできた際にSSLに対応して送られてくると、皆さんウイルス対策ソフトは読み取って検査することができなくなってしまうのです。

つまり巧妙なマルウェアを仕込んだ悪意のサイトほどSSLを完備することになってしまいます。

 

SSLでなく正しいサイトを見分ける方法は?

ドメイン名を確かめる

最も確実な方法はSSLの有無ではなく、URLを観察して、正しいドメインなのか?を確認することです。

正しいドメイン名は、検索して本当の企業やサービスのサイトに行けばわかります。また金融や通信など、詐欺メールが多い業界では、正当なドメイン名の一覧ちゃんと公表されているはずです。

SSLの証明書の情報を確認する。

SSLから信頼できるサイトなのか判別する方法もあります。

ブラウザーのSSLマークをクリックすることで、「そのSSLは信頼できる企業や組織が所有しているもの」と読み取ることができます。

無料のSSLや、犯罪者が取得したSSLでは、所有者の表示がわかりません。

ここを確認すれば、信頼性の証として使えます。

ただこれは専門的な知識と読み取る力が必要となりますので、どなたにもお勧めできる方法ではありません。

ご関心のある方は、以下のサイトをご覧ください。

 

 

古い非常識その2.「8文字(8桁)で安全」などパスワードの危険な非常識とは?

パスワードの非常識その1「安全なパスワードは8桁(文字)」・・・今ではあっという間に解読されてしまいます!

広まっている最も危険なデジタルの常識は「パスワードの文字数」です

今ではさすがに4文字は見かけませんが、まだ「6文字以上」「8文字以上」と記載されているサイトやサービスがあまりに多いです。またセキュリティのサイトや参考書にも同様な記載が残っています。

しかしこれは完全に古い常識です。

パスワードを解読するさまざまな手法が編み出され、解読に使うパソコンの能力も飛躍的に高くなりました。

5年前は何ヶ月もかかった解読作業が、パスワードによっては、一瞬や数分で解読できてしまうこともあります。

詳しくは当ブログの以下の記事をご参照ください。

ブログ内の関連記事(新しいウィンドウで開きます)

「パスワードは文字種を組み合わせ8文字(8桁)以上、時々変更しよう」。これは古い危険な情報です。内外の最新の解析や研究を検証した結果は「8文字パスワードは強度不足!」。また「強いパスワードを設定したら二度と変更の必要なし!」。パスワード[…]

パスワードをあらゆる手段で盗み出すハッカーのイメージ

 

パスワードの非常識その2「パスワードにはいろいろな文字種を使え」・・・かえって危険。文字種より長さが大切!

かつては「パスワードは8文字以上、英数字の大文字小文字を必ず使ってください」と説明されていました。

しかし解読のスピードが速まった今、文字種を増やしても、文字数が少なければあまり関係ないことが実験で確かめられています。とにかく長くすることが大切です

最低でも12文字、できれば14~5文字以上のパスワードを強くお勧めします。こうしておけば当分の間は安心でしょう。

 

パスワードの非常識その3「パスワードの定期的な変更すべき」・・・安全なパスワードは変更不要!

また「パスワードは月に一回変更してください」という記載もしばしば目にしますが、これはかえって短いパスワード/安易なパスワード/使い回しのパスワードを生み出す弊害となっています。

今では「長く安全なパスワードを使えば変更はしなくて良い」が常識で、セキュリティ会社も、総務省のような公的機関も同様の見解を発表しています。

長いパスワードは作り方のコツさえ覚えれば簡単に作ることができます

長いパスワードは、一旦作り方を覚えてしまえば。簡単に作れます。また記憶や危険なメモに頼るのではなく「パスワードマネージャー(パスワード管理ツール)」を使うことが最終的には最も効果的なパスワード対策となります。

詳しくは当ブログの以下の記事をご参照ください。

ブログ内の関連記事(新しいウィンドウで開きます)

パスワードには古い危ない常識が残っています。今では「8文字(8桁)のパスワード」は危険で、逆に強いパスワードなら定期的な変更は必要ありません。最新情報から「長いパスワードの必要性」と「簡単で忘れにくいパスワードの作り方」そして「簡単[…]

長くて安全なパスワードを作るヒント

 

 

古い非常識その3.「パスワード付きZIPファイル送信」は無意味で危険、すぐにやめるべき!

メールの安全性を高めるためにしばしは行われている「パスワード付きZIPファイルのメール添付=PPAP方式」。

  1. 添付するファイルを、適当なパスワードを使って暗号化したZIPファイルに変換する。
  2. ZIPファイルをメールに添付して送信する。
  3. 続いてそのZIPファイルのパスワードをメール送信する。

は、以前から「無意味だ」「かえって危険だ」と批判されていましたが、2020年11月、管内閣の平井デジタル改革担当相と河野行革担当相が民間の意見を採り上げ、官公庁での使用が停止されました。

「パスワード付きZIPファイルのメール添付」は効率を下げるだけでなく、暗号化のため「EMOTET」や「IcedID」という添付ファイルに潜む危険なマルウェアのセキュリティ検査ができず、感染を拡大してしまう危険まであります。

皆さんの会社や組織で今も行われているなら、すぐに廃止を提言しましょう。

ブログ内の関連記事(新しいウィンドウで開きます)

「何の意味があるのかな?」と思いつつも、毎日設定して送信している方も多い「パスワード付きZIPファイルの添付」のルール(PPAP方式)を平井デジタル改革担当相が「中央官庁では廃止する」発表しました。この作業は今では無意味なだけでなくかえ[…]

パスワード付きzipファイルは廃止しよう
ブログ内の関連記事(新しいウィンドウで開きます)

偽造されたメールの添付ファイルから感染するマルウェアEMOTET(エモテット)が猛威を振るっています。検査をすり抜けるZIPで暗号化されたものも増えました。2021年1月27日に欧州刑事警察機構の捜査によりEMOTETをコントロールしていた[…]

ブログ内の関連記事(新しいウィンドウで開きます)

EMOTET(エモテット)に引き続き、検査をすり抜けるためパスワード付きZIP添付ファイルから感染するマルウェアIcedID(アイスドアイディー)が拡大し多方面から注意喚起がなされています。IcedIDもEMOTET同様、情報漏えい他多[…]

新たな脅威「IcedID」のイメージ

 

 

まとめ:
「過去の常識は今の非常識」です。古い知識や情報は捨ててしまいましょう!

古い情報はリスクに直結してしまう

昔は正しいとされていたことが、時代を経ると誤った事に変わることは多々ありますが、進歩の著しいデジタルの世界ではほんの数年で常識ががらりと変わってしまいます。

誤った常識は、古いだけでなく、むしろ危険に繋がります。残念ながら、いろいろなサイトや解説書にも古い常識がそのまま記載されていることもあります。

技術の進歩は光だけでなく、陰の部分にも影響を与えている

デジタル機器や技術はすさまじい勢いで進歩しています。特に数年前までは予想もできなかった「AI」技術がITのあらゆる分野に進出してきて、続々と新しい手法が生み出されています。これらの新しい技術や手法は、効率を上げて生活を便利にしてくれるものですが、犯罪者も同時に活用しています。

特に「闇のデジタルの世界」では、優れた能力を犯罪に使ってしまうハッカーが多く、新技術はいち早く犯罪手段に活用され、対策が追いつかないほどです。

情報を参考にするときは「掲載日」や「更新日」を必ず確かめよう。

デジタルの安全やセキュリティに関わる情報を検索して探す際は、必ず「いつ記載された情報なのか」を確かめるようにしてください。3年以上前の情報はほとんど役に立たないことが多いのです。

残念ながらWikipediaにも、公的機関のサイトでも、平然と4.5年前の古い情報が記載されたままになっています。

とにかく3年以上前の情報は疑ってかかった方が安全です。

 

 

Digital Keeperお薦めのセキュリティソフト

やはりセキュリティ専門ソフトは必要です

今ではWindows10のようなOSは標準でセキュリティ機能(Windows Defender)が含まれており、ウイルスやマルウェアの侵入を防御してくれますが、基本的な機能しかありません。

セキュリティ専門ソフトは、より強力な防御力と、さまざまな追加機能で、あなたとご家族を守ってくれます。

たとえば

  • フィッシングメールに惑わされてうっかりURLをクリックしても「警告して先に進むことを止める」。
  • 仮に感染しても重要な個人情報の流出や不正送金を食い止める。
  • ネット上にあなたの個人情報が流出していないか調査する。
  • 子供のネットの利用時間や不健全なサイト利用を制限する。
  • スマホを紛失時に探したり、データを削除する。
  • 外出時に使う公衆wifiをVPNを使って安全に使用する。

といった機能です。

セキュリティソフトの選び方、買い方

セキュリティソフトの選択は、価格や広告で選んではいけません!

  • 老舗で世界各国で使用された実績が豊富で、要求が厳しい企業向けにも実績のあるもの
  • ご自身だけでなく、ご家族のスマートフォン、タブレットもすべてカバーできるもの
  • 運営会社が信頼でき、国家からの干渉がなく、個人情報やデータの秘密が守られるもの
  • 動作が軽く、機器使用の障害にならないもの

を選択してください。

また、パソコンだけでなく、タブレットやスマホまで、トータルでカバーする製品を選ぶと、「子供が紛失したスマホを探し出す」事など家中の機器をもれなく一括してセキュリティ管理でき、個別に揃えるより費用が大幅に安くなります。

購入に当たっては、店頭販売のパッケージ版より、ダウンロード販売の方が価格が安く、ご使用環境に併せて、使用機器の数や機能を選択できるため、はるかに便利です

家庭のパソコンやスマホの数(1台~10台)や使用期間(1年~3年)にあったものをお選びください。

お奨めのセキュリティソフトは?

Digital Keeperが社内でも使用し、おすすめしているのは「Kaspersky」の製品です。

世界でも指折りのセキュリティ技術の先進国ロシア発祥のセキュリティ会社ですが、今では国家からの干渉を避けるため、本拠をスイスに移し、世界各国の開発拠点で活動しています。

もっとも大切な防御力は世界各地の第三者機関のテストで常に「最上」の評価を受けるなど間違いなくNo.1です。

また付属する機能も豊富で「これだけ入れておけば他のセキュリティ製品は不要」なほどですが、それでいて動作も重くないのがすばらしいです。

下記のバナーで無料の30日間体験版がダウンロードできますので、使ってみて性能を実感してみてください。