fbpx

httpとhttpsの違いから「今ではsや鍵マークが安全ではない」理由を理解しよう!

httpとhttpsの違いを理解しよう
URLの「httpのsの有無」には大きな違いがあります。しかし「sがついているから、鍵マークがあるから安心」は今では古い知識で危険な非常識です。
どうして「httpsは安心できないのか?」URLのhttpとhttpsの違いのからSSLや鍵マークの意味、サーバー証明書から安全なURLの見分け方まで、初心者でも理解いただけるようにやさしくご説明します。
/ins>

httpとhttpsの違いとは?

httpとはなにか?

サイトのURLの冒頭に書かれている「http」とは、「HyperText Transfer Protocol」の略で、サイトの文字や画像などのデータをやりとりするための、 通信方法の約束(通信規格=プロトコル)のことです。

スマホでもPCでも、全世界のほとんどのサイトは、このhttp規格で、情報やデータをやりとりしています。

サイトのアドレスのURLが「http://○○~」ではじまっているのは

 「http規格でやりとりするサイトだよ」

と示すためなのです。

ただし、httpには大きな欠点がありました。

「ネット上で情報、だだ漏れ」を避けるためSSL規格が作られた

httpでインターネット上を流れているデータは、ちょっと詳しい人なら、専用のツールを使ってのぞいたり、改ざんしたりできてしまいます。

それでは安心して大切な情報を送ることができないため、他人に見られない通信方法が必要となりました。

そこで作られて、もっとも広く使われているのが「SSL(=Secure Sockets Layer)」という規格です。

「httpとhttpsの違い」は「SSLで暗号化されているか、いないか」の違いです

httpsとは?

では「s」がついた「https」のURLは、「s」無しの「http」と何が違うのか

「https」とは=HyperText Transfer Protocol Secure のことで、最後の「s」は「セキュリティ(Secure)」の「s」、そして「SSL」の「s」=「暗号化したhttp」で、

 「SSLを使ってデータを暗号化しているので、のぞき見されず安全にやりとりできるhttp規格のサイトだよ!」

と示すための表示なのです。

その結果ご存知の通り、httpsに対応したURLはブラウザー上では、URLの端に「鍵のマーク」が表示されます。

これは「相手とSSLの暗号化で鍵付きでつながるよ」という印です。

デジタルキーパーのSSL

 

httpsがSSLで通信の秘密を守る仕組みとは?

SSLとは、ネットで情報をやりとりするとき、データを暗号化して他人が盗み見る事をできなくする、秘密を守る通信規格(ブロトコル)です。

秘密を守るために、SSLは通信をするときに、自動的に、情報の送り手と受け手の間だけで通用する「鍵」を作って、データを暗号化します。

送り手と受け手以外の、鍵を知らない第三者は読むことは不可能です。

またSSL規格で通信すると、共通の暗号の鍵を持っている同士しかデータを読み書きできませんので、結果的に確実に相手が特定されることになり、第三者の成りすましも改ざんもできません。

たとえば、あるサービスとあなたのスマホのブラウザーとの間で、SSL規格でパスワードを送ると、自動的にお互いだけが持っている鍵で暗号化して送られるため、他人に盗み読みされる心配はありません。

SSLを使った暗号化のメリット

 

こうして完全に安全な通信が実現になります。

※(厳密に言うとSSLは現在ではTLSという上位の規格にバージョンアップされていますが、世間的にはSSLが通称として通っているのでこのまま使います)

 

httpsやSSLの安全性には限界がある!

誤解しないでいただきたいのは、SSLで暗号化されたhttpsの安全は

「通信のやりとりを他人に盗み読みされない」

だけということです。

httpsだからと言って、「やりとりの相手は正しい人」とか「不正なサイトでない」と証明されたのではありません

「httpsを使うと安全」という意味は、「通信が横取りされない」だけで、相手が犯罪者だった場合は、盗まれてしまいます。

ネットで「だまされる」危険性は、https付きサイトでもまったく変わりません

 

 

「httpsだから安全」は大間違い!

いろんなところに記載されている「httpsは安全」は誤解の元!

現在、宅配便の不在などを悪用した詐欺メール(フィッシングメール)やSMSで詐欺サイトに誘導され、個人情報が盗まれる被害が大きな問題になっています。

そこで詐欺サイトを見分ける方法として、しばしば

  • 「URLにhttpsがついているか確かめましょう」
  • 「鍵マークがつくサイトなら安全です」

とあたかもhttpsやSSLが安全を保障するかのように書かれています。

しかし、ここまでのご説明で、それが間違いであることはおわかりいただけるでしょう。

しかしこの誤った常識は今でも根強く、

「鍵マークがついているサイトなのに、買い物をだまされた」

とか言っている人が多いことに驚かされます。

どうしてこんな誤解が広まっているのでしょう?

 

昔はSSLを取得するのは大変だった

サイトにSSLを入れてhttpsのURLを用意するためには、SSLを提供する証明機関に登録して、「SSLサーバー証明書」を購入し、サイトにセットする作業が必要となります。

ひと昔前までは、SSL証明書を入手する手続は、厳しい審査を受ける必要があり、高額の費用もかかり「信頼性の高い企業が運営するサイトしかSSLを導入していなかった」時代がありました。

そのため、「httpsからURLがはじまるSSLの鍵付きサイトは信頼できる企業や組織のサイト」という誤った常識や神話ができあがったのでしょう。

しかし、それは10年以上前、デジタルの世界では大昔の話です!

 

今ではSSLとhttpsは必需品、当たり前になっている!

ネットの発達と共に「情報のぞき見」の被害を増えてきたため、次第にSSLが使われることが増えました。

さらに、2018年7月からは、世界でもっとも多く使われているブラウザー、グーグルのChromeが、SSLに対応していないhttpのサイトは「危険」と警告表示するようになりました。

これを契機に他のブラウザーもセキュリティソフトも「SSLに対応していないサイトを見ると危険」と表示されるようになってきました。

こうなると、「SSLなしのhttpサイトは危ない」と誰も見てくれなくなるため、SSLは必需品となり「サイト全体が常時https」なのが当たり前となりつつあります。

 

今では詐欺サイトもSSLとhttpsは対応済み

かつては高価だったSSLは、必需品となったため、取り扱う業者も増え、ランクも生まれ、コストも大きく下がりました。

SSLには取得が簡単でコストが安い順に「ドメイン認証」「企業認証」「EV認証」の3段階の等級があります。

「企業認証」「EV認証」は審査があり費用も高価ですが、「ドメイン認証」なら安価で誰でもすぐに取得できるようになっています

したがって、下のように詐欺サイトもしっかり「ドメイン認証」のSSLを導入し、httpsのURLを使っているため、「フィッシングサイトでも鍵マークが出ていることは当たり前」になっています。

当選詐欺サイトもSSL、https対応済み

そのため、今では、SSLはサービス提供者の信頼性を見分ける基準にはまったくなりません!

ところが、ユーザーが詐欺メールのURLをクリックして詐欺サイトに誘導されたにもかかわらず、「鍵マークがついているから安心だ!」と個人情報を入れてしまう方が後を絶ちません。

更新されない古い情報「SSL/https、鍵マークは安全」の被害なのです。

 

正しいサイトか?見分ける本当の方法は?

とはいえ「httpsか?」いちおう確認はする

上で「詐欺サイトもSSL/https対応済み」と書きましたが、中にはまだ非対応の詐欺サイトもあります。

少しでも怪しいサイトでhttpだったらすべて無視しましょう!

なお、まともなサービスや企業組織のサイトは「SSL/https対応」は完了しているはずですが、個人ブログなどSSL/https非対応のサイトは残っています。

これらのhttpサイトを見るだけでは危険はありませんが、フォームへの入力や個人情報の提供、まして購入や決済は絶対に止めましょう。

■ブラウザーのSSL/https対応の表示は変わっている

かつては、SSL/https対応していた証として上のようにアドレスバーに「グリーンの企業名」「保護された通信」が表示されていましたが、2019年9月より、このような表示や色は一切無くなり、「鍵のマーク」だけに統一されました。
デジタルキーパーのSSLいまだに「グリーン表示」を記載している記事は古い情報ですので、ご注意ください。

 

SSLサーバー証明書を確認する

SSLから信頼できるサイトなのかを、サイトが取得しているサーバー証明書から判別する方法もあります。

SSLには取得が簡単で安い順に「ドメイン認証」「企業認証」「EV認証」の3段階のランクがあります。

ブラウザーのSSLマークをクリックすることで、「どのランクの証明書を取得しているか?」「そのSSLは信頼できる企業や組織が所有しているもの」と読み取ることができます。

安いのSSLや、犯罪者が取得したSSLでは、所有者の表示があいまいです。

ここを確認すれば、信頼性の証として使えます。

ただこれは専門的な知識と読み取る力が必要となりますので、どなたにもお勧めできる方法ではありませんが、簡単に確認方法を説明します。

アドレスバーの「鍵マーク」をクリックして信頼性を確認する

ブラウザーのアドレスバーの「鍵マーク」をクリックします。下記は当ブログの例です。
デジタルキーパーのSSL

今ご覧の当社ブログ(https://keepmealive.jp/)では下記のような画面が開きます。

  1. 「証明書」に会社名の記載がない
  2. 「証明書」をクリックして開いた「詳細タブ」の「サブジェクト欄」にはサイトのドメイン名(www.keepmealive)しか記載がない

当社ブログでは個人情報はお預かりしないため、導入コストの安い「ドメイン認証」のSSLサーバー証明書を導入したからです。
そろそろ上級の証明書に切り替えようかと考えています。

サーバー証明書を確認する方法

同様に「三井住友銀行様」のサイトの鍵マークをクリックしてみます。

  1. 「証明書」に会社名が明記されている
  2. 「証明書」をクリックして開いた「詳細タブ」の「サブジェクト欄」に、「O=会社名」ほかの詳しい記載がある。

三井住友銀行様はお客様の金融資産を預かる重要なサイトのため、高額で審査が厳しい「EV認証」を取得しています。会社名から住所、証明書の番号まで詳しく記載されています。

サーバー証明書を確認する方法

以上のように、SSLサーバー証明書の内容から、所有する組織の信頼性を判断することができます。

ところが現実では、大部分のサイトは「ドメイン認証」ばかりのため、これだけで一概に信頼性が低いと断定するのはやや早急です。

しかし、決済や購入をするサービスでは「ドメイン認証では信頼性に欠ける」という判断をしてもよいでしょう

 

メールやネット上のURLはすべて疑い、検索して正しいサイトを訪問する

URLは偽装もできますし、「SSL/https対応」マークもあてになりません。

そのためもっとも確実な方法は、危険がありそうなURLは全て疑ってかかり、クリックすることを控えることです。

  • 信頼できないサイトに記載されているURL
  • メールやSMSに記載されているURL

はすべて信じず、

「改めて検索して、正しいサイトを調べる」

「ブックマーク/お気に入りに登録しているURLをクリックする」

ことが、安全へのもっとも近道だと言えます。

ブログ内の関連記事(新しいウィンドウで開きます)

TwitterやFacebook、LINEのようなSNSで起きてしまう「SNSアカウントのなりすまし」。本人になりすまして、不正メッセージや「ここであなたを見ました」「このビデオいつでしたか」「私が見つけたものを見て」「あなただと思いま[…]

アカウントの乗っ取りを防ぐ唯一の方法「二段階認証」のイメージ

 

オンラインでURLやファイルをスキャンしてくれるサービスを使う

不審なURLをスキャンして安全性を判定してくれるオンラインサービスがあります。

おすすめはGoogleが運営している「VIRUSTOTAL」。

なんと全世界の100種類近くのセキュリティサービスを同時に使って徹底的にスキャンしてくれますのでかなり安心。しかも無料です。

VIRUSTOTALの詳しい使い方は以下の当社ブログ記事をご覧ください。

ブログ内の関連記事(新しいウィンドウで開きます)

個人情報を盗んだり、ウイルスを感染させようする詐欺メール(フィッシングメール)や詐欺SMS(スミッシング)、そして「SNSのメッセンジャーで友達から届く詐欺動画」など、あなたをだますメッセージが毎日たくさん飛んできます。変な日本語もなく[…]

 

まとめ:
古い常識はすてて、最新のセキュリティを知りましょう

進歩の早いデジタルの世界では古い情報は危険

SSLやhttpsの最新の状況をご説明してきましたが、かつての常識が今の非常識になりつつあることをご理解いただけたと思います。
進歩の著しいデジタルの世界ではほんの数年で常識ががらりと変わります。

いろいろなサイトや解説書にも「httpsのサイトは緑で保護された通信と表示されます」のような古い情報がそのまま記載されていることもありますが、古い情報を信じると危ないこともあります。

デジタルの安全やセキュリティに関わる情報を検索して探す際は、必ず「いつ記載された情報なのか」を確かめるようにしてください。

3年以上前の情報はほとんど役に立たないことが多いのです。

個人情報を提供したり、買い物をするときは、「鍵マークをクリックして、証明書が企業のものなのか?確認する」ことも大切です。

どうぞ最新の知識で安全なデジタル活用を実現してください。

 

ブログ内の関連記事(新しいウィンドウで開きます)

「鍵のマークがついた(点灯した)httpsのサイトは安全」は、まちがった危険な考え方です。SSLもhttpsも今では詐欺サイトでも使われているため全く信用できません。「添付ファイルは暗号化してパスワードを送信」も否定されました。ITやデ[…]

SSLは安全は今や非常識
ブログ内の関連記事(新しいウィンドウで開きます)

パスワードには古い危ない常識が残っています。今では「8文字(8桁)のパスワード」は危険で、逆に強いパスワードなら定期的な変更は必要ありません。最新情報から「長いパスワードの必要性」と「簡単で忘れにくいパスワードの作り方」そして「簡単[…]

長くて安全なパスワードを作るヒント

 

Digital Keeperお薦めのセキュリティソフト

やはりセキュリティ専門ソフトは必要です

現在のデジタル機器はセキュリティが強化され、昔のようにウイルスには簡単に感染させることができなくなりました。

そこで攻撃方法はユーザーをだます「フィッシング」によって、不正プログラムを感染させたり、偽サイトで個人情報を盗み取る手法に移行しています。

Windows10のセキュリティ機能(Windows Defender)は、ウイルスの侵入は防ぎますが、フィッシング対策はありません。

セキュリティ専門ソフトは、より強力な防御力と以下のような追加機能で、あなたとご家族がだまされてしまうリスクも低減し、万一の時も、被害低減してくれます。

  • フィッシングサイト等、ネット上の危険なコンテンツへのアクセスを止める。
  • フィッシングメールにだまされてうっかりURLをクリックしても「警告」して止める。
  • 仮に感染しても重要な個人情報の流出や不正送金を食い止める。
  • ネット上にあなたの個人情報が流出していないか調査する。
  • お子様のネットの利用時間や不健全なサイト利用を制限する。
  • 紛失したスマホを探したり、データを削除する。
  • 外出時に使う公衆wifiをVPNを使って安全に使用する。

といった機能です。

※iPhoneは強固な構造のためセキュリティアプリは不要とされています。Androidスマホにはセキュリティアプリは絶対に必要です。

セキュリティソフトの選び方、買い方

セキュリティソフトの選択は、価格や広告で選んではいけません!まして無料なアプリはかえって危険につながることもあります。

  • 世界各国で使用実績が豊富で、要求が厳しい企業向け製品にも実績のある
  • 運営会社が信頼でき、国家からの干渉がなく、個人情報やデータの秘密が守られる
  • 動作が軽く、機器使用の障害にならない
  • ご自身だけでなく、ご家族のスマートフォン、タブレットもすべてカバーできる

製品ををおすすめします。

また、タブレットやスマホまで、トータルでカバーできる製品では「子供が紛失したスマホを探し出す」事など家中の機器をもれなく一括してセキュリティ管理でき、個別に揃えるより費用も大幅に安くなります。

購入に当たっては、店頭販売のパッケージ版より、ダウンロード販売の方が価格が安く、使用環境に併せて、使用機器の数や機能を選択できるため、はるかに便利です。
家庭のパソコンやスマホの数(1台~10台)や使用期間(1年~3年)にあったものをお選びください。

お奨めのセキュリティソフトは?

Digital Keeperが社内でも使用し、おすすめしているのは「Kaspersky」の製品です。

世界でも指折りのセキュリティ技術の先進国ロシア発祥のセキュリティ会社ですが、今では国家からの干渉を避けるため、本拠をスイスに移し、世界各国の開発拠点で活動しています。

もっとも大切な防御力は世界各地の第三者機関のテストで常に「最上」の評価を受けるなど間違いなくNo.1です。

また付属する機能も豊富で「これだけ入れておけば他のセキュリティ製品は不要」なほどですが、それでいて動作も重くないのがすばらしいです。

下記のバナーから無料の30日間体験版がダウンロードできますので、使ってみて性能を実感してみてください。