2018年1月22日

HTTPSが安全とは限らない

脅威

ブラウザーのアドレスバーに表示された小さな緑色の錠アイコンと「保護された通信」という言葉を目にすると、ほとんどの人が「このWebサイトは安全なんだな」と思うのが正直なところではないでしょうか。「このサイトは安全な接続を使用しています」というメッセージや、「https」で始まるURLに対しても同様に。昨今はHTTPSに切り替えるサイトが増えています(そうするしかない、というのが実情ですが)。その何が問題なのでしょうか?サイトがより安全になるなら、良いことなのでは?

実を言うと、こういった「安全」の印は、そのWebサイトがすべての脅威から保護されていることを保証するわけではありません。たとえばフィッシングサイトでも、httpsアドレスの隣に緑色の錠アイコンを合法的に表示できます。一体どういうことでしょうか?Google Chromeを例に、ひもといてみましょう。

安全な接続だからサイトも安全というわけではない

緑色の錠アイコンは、そのWebサイトに対して証明書が発行されていて暗号鍵ペアが生成済みであることを意味します。緑色の錠アイコンを持つWebサイトは、サイト訪問者とサイトの間でやりとりされる情報を暗号化します。ページURLは「https」で始まっていて、最後の「s」は「Secure(安全)」を表します。

確かに、送信データの暗号化自体は良いことです。お使いのブラウザーとWebサイトの間でやりとりされる情報に、インターネットサービスプロバイダー(ISP)やネットワーク管理者、侵入者のような第三者がアクセスできないということですから。通信が暗号化されていれば、のぞかれる心配なくパスワードやクレジットカード情報を入力できます。

しかし問題は、緑色の錠アイコンや発行された証明書がWebサイトそのものとは無関係な点です。フィッシングサイトであっても、簡単に証明書を取得し、訪問者とサイトの間のトラフィックをすべて暗号化できるのです。

簡単に言うと、緑色の錠アイコンは、他の誰かに入力データをのぞき見されないことを保証しています。しかし、そのWebサイト自体が偽物ならば、パスワードは盗まれてしまいます。

フィッシング詐欺を働く人々は、これを積極的に利用しています。Phishlabsの記事(英語)によると、今ではフィッシング詐欺の4分の1がHTTPSサイトで行われています(2年前は1%未満でした)。さらに、Phishlabsによる簡単なアンケートでは、URLの隣に緑色の錠アイコンがあればそのサイトは安全であると考える人が回答者の80%超に及んだ、という結果が出ています。

錠アイコンが緑色でなかったら?

アドレスバーに錠アイコンが表示されていない場合、そのWebサイトは暗号を使用しておらず、標準のHTTPを使ってブラウザーと情報をやりとりします。Google Chromeは、HTTP接続をするWebサイトのアドレスバーに「保護されていません」という表示を出すようになりました。Webサイトそのものは実際のところ完全にクリーンかもしれませんが、利用者とサーバー間のトラフィックが暗号化されていないためです。Webサイト所有者の大半は、自分のサイトが安全ではないというレッテルを貼られたくないので、どんどんHTTPSに移行しています。何にせよ、HTTP接続で大事なデータを入力すると、誰にでものぞき見されてしまう可能性があり、あまりお勧めしません。

このほか、赤い三角のアイコンを見かけることがあるかもしれません。これは、このWebサイトに証明書はあるけれども、信頼できる認証機関によって確認されていないか、または無効な状態です。サーバーとの接続は暗号化されていますが、そのドメインが本当にそのWebサイトに表示されている会社のものなのかは保証されません。通常、こういった証明書はテスト目的で使われるものですから、これは気をつけるべきです。

このほか、証明書の期限が切れて更新が間に合っていない場合も、「保護されていない」ものと見なされます。どちらの場合も、警告として受け止め、そういったサイトの利用は避けた方がよいでしょう。個人情報は入力しないようにしましょう。

騙されないようにするには

まとめると、証明書と緑色の錠アイコンが意味するところは、利用者とサイトの間のデータ送信が暗号化されるということと、信頼されている認証機関が証明書を発行したということだけです。HTTPS接続のサイトが悪質なサイトではないことを示すわけではありません。

したがって、一見安全そうに見えるサイトでも、注意を怠らないようにしましょう。

  • 信頼性を確信できないサイトでは、ログインIDやパスワード、銀行取引の認証情報、その他の個人情報を決して入力しないでください。入力する場合は、常にドメイン名を確認しましょう。偽サイトの名称は、本物とたった1文字しか違わない場合があります。また、リンクをクリックするときは、正しいURLを指すリンクか確かめてからクリックしましょう。
  • 特定のサイトが何を提供しているのか、疑わしい点はないか、本当に登録する必要があるのかなどについて、常に十分に検討してください。
  • お使いのデバイスをしっかり保護しましょう。カスペルスキー インターネット セキュリティカスペルスキー セキュリティのWindows対応プログラム)は、URLをフィッシングサイトの膨大なデータベースと照合し、フィッシング詐欺を検知します。