どうして「httpsは安心の証ではないのか?」、URLのhttpとhttpsの違いからSSLや鍵マークの意味、サーバー証明書から本当に安全なサイトを見分ける方法まで、初心者でも理解いただけるようにやさしくご説明します。
httpとhttpsの違いとは?
基本の基本、URLの頭「http」とはなにか?
サイトのURLの冒頭に書かれている「http」とは、「HyperText Transfer Protocol」の略で、サイトの文字や画像などのデータをやりとりするための、 通信方法の約束(通信規格=プロトコル)のことです。
スマホでもPCでも、全世界のほとんどのサイトは、このhttp規格で、情報やデータをやりとりしています。
サイトのアドレスのURLが「http://○○~」ではじまっているのは
「http規格でやりとりするサイトだよ」
と示すためです。
ところが、http規格が普及するとhttpの大きな欠点が明らかになってしまいました。
それはhttpでやりとりする情報は「誰からも丸見え」という大問題でした。
「ネット上で情報、だだ漏れのhttp」を強化するためSSL規格が作られた
httpでインターネット上を流れているデータは、ちょっと詳しい人なら、専用のツールを使ってのぞいたり、改ざんしたりできてしまいます。
それでは大切な情報を送ることができません。解決策として「他人に見られない通信方法」が必要となりました。
そこで考え出された方法の中で、もっとも広く使われている通信方法が
「httpさらにをSSL(=Secure Sockets Layer)規格で暗号化して隠す」
という仕組みです。
SSLが通信の秘密を守る仕組みとは?
SSLとは、ネットで情報をやりとりするとき、データを暗号化して他人が盗み見る事をできなくする、秘密を守る通信規格(ブロトコル)です。
秘密を守るために、SSLは通信をするときに、自動的に、情報の送り手と受け手の間だけで通用する「鍵」を作って、データを暗号化します。
送り手と受け手以外の、鍵を知らない第三者は読むことは不可能です。
またSSL規格で通信すると、共通の暗号の鍵を持っている同士しかデータを読み書きできませんので、結果的に確実に相手が特定されることになり、第三者の成りすましも改ざんもできません。
たとえば、あるサービスとあなたのスマホのブラウザーとの間で、SSL規格でパスワードを送ると、自動的にお互いだけが持っている鍵で暗号化して送られるため、他人に盗み読みされる心配はありません。
こうして完全に安全な通信が実現しました!
※(厳密に言うとSSLは現在ではTLSという上位の規格にバージョンアップされていますが、世間的にはSSLが通称として通っているのでこのまま使います)
httpsとは「httpがSSL規格で暗号化されている」ことを表している
httpとhttpsの違いとは?
では「s」がついた「https」のURLは、「s」無しの「http」と何が違うのか?
「https」とは=HyperText Transfer Protocol Secure のことで、最後の「s」は「セキュリティ(Secure)」の「s」、そして「SSL」の「s」つまり「暗号化したhttp」を表し、
「SSLを使ってデータを暗号化した、のぞき見されない安全にやりとりできるhttp規格のサイトだよ!」
と示すための表示なのです。
その結果ご存知の通り、httpsに対応したURLはブラウザー上では、URLの端に「鍵のマーク」が表示されます。
これは「相手とSSLの暗号化で鍵付きでつながっていて暗号化されてるよ」という印です。
「httpsだから安全」ではない理由とは?
httpsやSSLの安全性には限界がある!
誤解しないでいただきたいのは、SSLで暗号化されたhttpsの安全は
「通信のやりとりを他人に盗み読みされない」
だけということです。
httpsだからと言って、
- 「やりとりの相手は正しい人」
- 「送られている情報が正しい」「不正なサイトでない」
と証明されているわけでははありません!
「httpsを使うと安全」という意味は、「通信が横取りされない送り方をしている」というだけで、相手が犯罪者だった場合は、httpsのサイトでも、情報は盗まれてしまいます。
ネットで「だまされる」危険性は、https付きサイトでもまったく変わりません。
いろんなところに記載されている「httpsは安全」は誤解の元!
現在、宅配便の不在などを悪用した詐欺メール(フィッシングメール)やSMSで詐欺サイトに誘導され、個人情報が盗まれる被害が大きな問題になっています。
そこで詐欺サイトを見分ける方法として、しばしば
- 「URLにhttpsがついているか確かめましょう」
- 「鍵マークがつくサイトなら安全です」
とあたかもhttpsやSSLが安全を保障するかのように書かれています。
しかし、ここまでのご説明で、それが間違いであることはおわかりいただけるでしょう。
しかしこの誤った常識は今でも根強く、「鍵マークがついているサイトなのに、買い物をだまされた」などと誤解している人が多いことに驚かされます。
では、どうしてこんな誤解が広まっているのでしょう?
昔はSSLを取得するのはお金もかかり簡単ではなかった
サイトにSSLを入れてhttpsのURLを用意するためには、SSLを提供する証明機関に登録して、「SSLサーバー証明書」を購入し、サイトにセットする作業が必要となります。
ひと昔前までは、SSL証明書を入手する手続は、厳しい審査を受ける必要があり、高額の費用もかかり「信頼性の高い企業が運営するサイトしかSSLを導入していなかった」時代がありました。
そのため、「httpsからURLがはじまるSSLの鍵付きサイトは信頼できる企業や組織のサイト」という誤った常識や神話ができあがったのでしょう。
しかし、それは10年以上前、デジタルの世界では大昔の話です!
今ではSSLとhttpsは必需品となり、誰でも取得できる当たり前の規格になっている!
ネットの発達と共に「情報のぞき見」の被害を増えてきたため、次第にSSLが使われることが増えました。
さらに、2018年7月からは、世界でもっとも多く使われているブラウザー、グーグルのChromeが、SSLに対応していないhttpのサイトは「危険」と警告表示するようになりました。
これを契機に他のブラウザーもセキュリティソフトも「SSLに対応していないサイトを見ると危険」と表示されるようになってきました。
こうなると、「SSLなしのhttpサイトは危ない」と誰も見てくれなくなるため、SSLは必需品となり「サイト全体が常時https」なのが当たり前となりつつあります。
今では詐欺サイトもしっかりSSLとhttpsは対応済み
かつては高価だったSSLは、必需品となったため、取り扱う業者も増え、ランクも生まれ、コストも大きく下がりました。
SSLには取得が簡単でコストが安い順に「ドメイン認証」「企業認証」「EV認証」の3段階の等級があります。
「企業認証」「EV認証」は審査があり費用も高価ですが、「ドメイン認証」なら安価で誰でもすぐに取得できるようになっています。
したがって、下のように詐欺サイトもしっかり「ドメイン認証」のSSLを導入し、httpsのURLを使っているため、「フィッシングサイトでも鍵マークが出ていることは当たり前」になっています。
そのため、今では、SSLはサービス提供者の信頼性を見分ける基準にはまったくなりません!
ところが、ユーザーが詐欺メールのURLをクリックして詐欺サイトに誘導されたにもかかわらず、「鍵マークがついているから安心だ!」と個人情報を入れてしまう方が後を絶ちません。
更新されない古い情報「SSL/https、鍵マークは安全」の被害なのです。
かつては、SSL/https対応していた証として上のようにアドレスバーに「グリーンの企業名」「保護された通信」が表示されていましたが、2019年9月より、このような表示や色は一切無くなり、「鍵のマーク」だけに統一されました。いまだに「グリーン表示」を記載している記事は古い情報ですので、ご注意ください。
正しいサイトか?見分ける本当の方法は?
「httpsか?」いちおう確認はする
上で「詐欺サイトもSSL/https対応済み」と書きましたが、中にはまだ非対応の詐欺サイトもあります。
少しでも怪しいサイトがhttpだったらすべて無視しましょう!
メールやSMS(ショートメッセージ)の本文で「http~のURL」は完全に怪しいサイトです。
なお、まともなサービスや企業組織のサイトは「SSL/https対応」は完了しているはずですが、個人ブログなどSSL/https非対応のサイトは残っています。
これらのhttpサイトを見るだけでは危険はありませんが、フォームへの入力や個人情報の提供、まして購入や決済は絶対に止めましょう。
SSLサーバー証明書をクリックして確認する
SSLから信頼できるサイトなのかを、サイトが取得しているサーバー証明書から判別する方法もあります。
SSLには取得が簡単で安い順に「ドメイン認証」「企業認証」「EV認証」の3段階のランクがあります。
ブラウザーのSSLマークをクリックすることで、「どのランクの証明書を取得しているか?」「そのSSLは信頼できる企業や組織が所有しているもの」と読み取ることができます。
安いSSLや、犯罪者が取得したSSLでは、所有者の表示があいまいです。
ここを確認すれば、信頼性の証として使えます。
ただこれは専門的な知識と読み取る力が必要となりますので、どなたにもお勧めできる方法ではありませんが、簡単に確認方法を説明します。
アドレスバーの「鍵マーク」をクリックして信頼性を確認する
ブラウザーのアドレスバーの「鍵マーク」をクリックします。下記は当ブログの例です。
今ご覧の当社ブログ(https://keepmealive.jp/)では下記のような画面が開きます。
- 「証明書」に会社名の記載がない
- 「証明書」をクリックして開いた「詳細タブ」の「サブジェクト欄」にはサイトのドメイン名(www.keepmealive)しか記載がない
当社ブログでは個人情報はお預かりしないため、導入コストの安い「ドメイン認証」のSSLサーバー証明書を導入したからです。
年間6万円もかかりますが、いずれ上級の証明書に切り替えようかと考えています。
同様に「三井住友銀行様」のサイトの鍵マークをクリックしてみます。
- 「証明書」に会社名が明記されている
- 「証明書」をクリックして開いた「詳細タブ」の「サブジェクト欄」に、「O=会社名」ほかの詳しい記載がある。
三井住友銀行様はお客様の金融資産を預かる重要なサイトのため、高額で審査が厳しい「EV認証」を取得しています。会社名から住所、証明書の番号まで詳しく記載されています。
以上のように、SSLサーバー証明書の内容から、所有する組織の信頼性を判断することができます。
ところが現実では、大部分のサイトは「ドメイン認証」ばかりのため、これだけで一概に信頼性が低いと断定してはいけません。
そんなことをしては、使えるサービスがなくなってしまいます。
しかし、決済や購入をするサービスでは「ドメイン認証では信頼性に欠ける」という判断をしてもよいでしょう。
メールやネット上のURLはすべて疑い、検索して正しいサイトを訪問する
URLは偽装もできますし、「SSL/https対応」マークもあてになりません。
そのためもっとも確実な方法は、危険がありそうなURLは全て疑ってかかり、クリックすることを控えることです。
- 信頼できないサイトに記載されているURL
- メールやSMSに記載されているURL
はすべて信じず、
「改めて検索して、正しいサイトを調べる」
「ブックマーク/お気に入りに登録しているURLをクリックする」
ことが、安全へのもっとも近道だと言えます。
TwitterやFacebook、LINEのようなSNSで起きてしまう「SNSアカウントのなりすまし」。本人になりすまして、不正メッセージや「ここであなたを見ました」「このビデオいつでしたか」「私が見つけたものを見て」「あなただと思いま[…]
オンラインでURLやファイルをスキャンしてくれるサービスを使う
不審なURLをスキャンして安全性を判定してくれるオンラインサービスがあります。
おすすめはGoogleが運営している「VIRUSTOTAL」。
なんと全世界の100種類近くのセキュリティサービスを同時に使って徹底的にスキャンしてくれますのでかなり安心。しかも無料です。
VIRUSTOTALの詳しい使い方は以下の当社ブログ記事をご覧ください。
個人情報を盗んだり、ウイルスを感染させようする詐欺メール(フィッシングメール)や詐欺SMS(スミッシング)、そして「SNSのメッセンジャーで友達から届く詐欺動画」など、あなたをだますメッセージが毎日たくさん飛んできます。変な日本語もなく[…]
まとめ:
古い常識はすてて、最新のセキュリティを知りましょう
進歩の早いデジタルの世界では古い情報は危険
SSLやhttpsの最新の状況をご説明してきましたが、かつての常識が今の非常識になりつつあることをご理解いただけたと思います。
進歩の著しいデジタルの世界ではほんの数年で常識ががらりと変わります。
いろいろなサイトや解説書にも「httpsのサイトは緑で保護された通信と表示されます」のような古い情報がそのまま記載されていることもありますが、古い情報を信じると危ないこともあります。
デジタルの安全やセキュリティに関わる情報を検索して探す際は、必ず「いつ記載された情報なのか」を確かめるようにしてください。
3年以上前の情報はほとんど役に立たないことが多いのです。
個人情報を提供したり、買い物をするときは、「鍵マークをクリックして、証明書が企業のものなのか?確認する」ことも大切です。
どうぞ最新の知識で安全なデジタル活用を実現してください。
「鍵のマークがついた(点灯した)httpsのサイトは安全」は、まちがった危険な考え方です。SSLもhttpsも今では詐欺サイトでも使われているため全く信用できません。「添付ファイルは暗号化してパスワードを送信」も否定されました。ITやデ[…]
コンピューターの進歩によってパスワードの作り方の基準は変わっています。今では「8文字(8桁)のパスワードは弱くて危険」で「強いパスワードは定期的な変更は不要」が正しい考え方です。どうして8文字では危険なのか?最新の研究を元に、最強のパス[…]
