fbpx

「鍵マークは安全」「パスワードは8桁」は古い危険な常識です!

SSLは安全は今や非常識
「鍵のマークがついた(点灯した)サイトは安全」も「パスワードは8文字」は、まちがった危険な考え方です。SSLは今ではどのサイトでも、詐欺サイトでも使われています。
ITやデジタルの変化は早く、数年前の常識は今では非常識なのです。
鍵マークの本当の意味は何か?どうして8文字では危険なのか?危険を避けるための方法をやさしく解説します。
/ins>

1.「鍵のマークがついているサイトは安全」はウソで危険な常識

SSLは今では安全の目印ではない!

  • 「鍵マークがつくサイトは安全です」
  • 「悪意あるWebサイトにひっかからないよう、URLバーに鍵マークがあるか確かめましょう」

の教えは、今でもあちこちで見られ、セキュリティ情報のサイトや教本などにも堂々と記載されています。しかしこれは全く昔の古い考え方で、今や「完全な間違い/非常識」です!

そもそもSSLとは「ブラウザーとサイトの間のやりとりを暗号化する」という規格で、サイトの正当性を証明するものではありません。

「SSLとは?」~SSLは安心の印ではなく、通信技術の規格に過ぎない

皆さんはSSLと言う言葉をご存知でしょう。SSLに対応しているサイトを訪問すると、ブラウザーのURLの前に、右の写真のように「鍵マーク」が表示されます。
デジタルキーパーのSSL
デジタルキーパーのURL表示

SSLとはインターネットの世界で情報をやりとりする際、サービス側のサイトと、スマホやPCでお使いのブラウザー間とのデータのやりとりを暗号化して、途中で盗み見る事をできなくする技術の規格です。
※(厳密に言うと現在ではTLSというSSLの上位の規格にバージョンアップされていますが、世間的にはSSLのいう通称として通っているのでこのまま使います)

SSLに対応したサイトのアドレスバーのURLの冒頭は「http」ではなく「https」と「s」が付き、ブラウザで見ると、URLが表示されるバーの端に「鍵のマーク」が表示されたり、ブラウザーによっては「安全として緑色表示」されるため、容易に判別でき、「鍵マーク=安全」という常識がありました。

しかし「SSL証明書」をサイトに組み込みめば、誰でもSSLマークをつけることができます。決してサイトやコンテンツの安全性を示す記号ではありません。

昔は、SSL導入は大変だった。でも今は誰でも無料ですぐに導入できる

ひと昔前までは、SSLを使うためには申請や審査も面倒で、高額なお金もかかり、「信頼性の高い企業が運営するサイトしかSSLを導入していなかった」時代が確かにありました。

結果として、その時代はhttpsからURLがはじまる「鍵付きサイト」は「信頼できる企業組織のサイト」という常識ができあがったのでしょう。

2018年からはSSL付きが標準になったため詐欺サイトもSSLをつけている

ところが、セキュリティ意識の高まりにより、サイト側も次第にSSLを使うことが広まるようになりました。

2018年7月にはGoogleのChromeは「SSLに対応していないサイトは危険」と警告表示されるようになりました。これを契機にブラウザーだけでなく、PCやスマホに入っているセキュリティソフトも「SSLに対応されていないサイトは危険」と表示されるようになってしまいました。

こうなると、SSLなしのサイトは誰も見てくれなくなり、SSLは必需品となりました。

今では証明書を発行する業者も増え、コストも手間も大きく下がり、今ではほとんど無料で、だれでもすぐに取得できるようになってしまいました

つまりSSLは通信の暗号化を守りますが、取得者やサイトの信頼性とは全く無関係なのです

今や詐欺サイトも導入済みのSSLなのに、ユーザーの常識がついていってない!

したがって詐欺サイトもしっかりSSLを導入し、「鍵マークが出ていることは当たり前」になりつつあります。

ところが、ユーザーが詐欺メールのURLをクリックして詐欺サイトに誘導されているにもかかわらず、

 「鍵マークがついているから安心だ!」

とデータを打ち込んでしまう方が後を絶ちません。

今ではフィッシング詐欺サイトの大半がSSL化されており、SSLは全く信頼性を見極める基準にはなりません。更新されない古い情報や常識の大きな弊害と言えます

さらにSSLに対応しているため増えるリスクもある

SSLは「ネットの通信で、サイトとブラウザー間とのデータのやりとりを暗号化して、途中で盗み見る事をできなくする技術」とご説明しました。暗号化されて中が見れなくなることは、実は危険にも繋がります

皆さんのPCなどにはウイルス対策ソフトがインストールされていることが多いと思いますが、悪意のサイトがウイルスやマルウェアを送り込んできた際にSSLに対応して送られてくると、皆さんウイルス対策ソフトは読み取って検査することができなくなってしまうのです。

つまり巧妙なマルウェアを仕込んだ悪意のサイトほどSSLを完備することになってしまいます。

SSLでなく正しいサイトを見分ける方法は?

ドメイン名を確かめる

最も確実な方法はSSLの有無ではなく、URLを観察して、正しいドメインなのか?を確認することです。

正しいドメイン名は、検索して本当の企業やサービスのサイトに行けばわかります。また金融や通信など、詐欺メールが多い業界では、正当なドメイン名の一覧ちゃんと公表されているはずです。

SSLの証明書の情報を確認する。

SSLから信頼できるサイトなのか判別する方法もあります。

ただこれは専門的な知識と読み取る力が必要となりますので、どなたにもお勧めできる方法ではありません。
いずれご説明したいと思います。

 

>>次ページ 「8文字(8桁)で安全」などパスワードの3つの危険な非常識とは?