「https」ではじまるURLでも安心できない理由と対策について

ネットサーフィン中、アドレスバーに「保護されていない通信」と表示されているとドキッとしてしまいますよね。とはいえ、保護されているように見える「鍵マーク」が表示されていても安心できない場合があります。本当に安全かどうかの見分けかたをチェックします。

鍵マークや「保護されていない通信」「iアイコン」の意味

アドレスバーに表示されている「鍵マーク」や「iアイコン」が気になったことはありませんか?

特に、ChromeをWebブラウザーとして使っている人であれば、「iアイコン」の隣に「保護されていない通信」という警告が表示されているのを見たことがあるかもしれません。

「https」ではじまるURLでも安心できない理由と対策について

以前であれば、クレジットカード番号を入力するようなショッピングサイトや、口座振替などを行えるオンラインバンキングのログインページなどでのみ必須だった「通信の暗号化」。Googleでは、それを全サイトに推奨し、セキュリティーを強化していきたい、という狙いがあり、そのため2018年7月にアップデートしたChrome 68以降で、暗号化されていないWebサイトのアドレスバーに鍵マークを表示しないだけでなく、「保護されていない通信」という警告を表示するようになりました。

では、暗号化されているかどうかを事前に見分ける方法があるのでしょうか?

URLが「https」ではじまっていれば暗号化されているサイトの証

それは、WebサイトのURLを確認することで見分けられます。

暗号化されていないサイトの場合は「http://」で、暗号化されている場合は「https://」ではじまります。「s」がついている場合は、データのやり取りに「SSL」(Secure Sockets Layer)と呼ばれる暗号化を含む安全性の高い通信方式を使っています。「その通信に、s(セキュリティー)はあるか」ということで覚えられるでしょう。

「https」ではじまるURLでも安心できない理由と対策について

▲アドレスバーをゆっくり2回クリックすると見ることができる

では、URLに「https://」が使われており、アドレスバーに鍵マークが付いていれば、本当に安全なのでしょうか?

暗号化されていても安心できない理由とは?

結論から言えば、「安心できません」。フィッシングサイトを研究しているアメリカの フィッシュラブズ(Phishlabs)によれば、2017年の調査でフィッシングサイトの4分の1がhttpsではじまるURLを使用していたとのことです。

なぜそのようなことが起きるのでしょうか。1つには、SSL証明書を充分な審査なく交付する窓口があるから。また、SSL証明書がサーバー運用会社に与えられており、そのレンタルサーバーを借りてサイトを作っている人に与えられたものではないことがあるから(独自SSLではなく共有SSLだから)。さらには、SSL証明書を持っているWebサイトが乗っ取られていることもあるからです。

3つめの場合は、見分けようがありません。とはいえ、1つめ2つめについては、本当に安全なSSL証明書を受けたサイトかどうかをある程度見分けられます。

安全なサイトを見分ける方法

SSL証明書の内容を確認する

その方法の1つが、「証明書の内容を確認すること」です。

「難しそう」と思いましたか? 実は意外と簡単に確認できるので、順を追って確認してみましょう。

【Chromeの場合】
(1)アドレスバーの鍵マークをクリックする
(2)「証明書」をクリックする

「https」ではじまるURLでも安心できない理由と対策について

(3)「詳細」タブをクリックする

「https」ではじまるURLでも安心できない理由と対策について

(4)「サブジェクト」または「サブジェクト代替名」を確認する

「https」ではじまるURLでも安心できない理由と対策について

ここで表示されているドメイン名(「example.com」など)が、アドレスバーに表示されているものと同じであれば、認証局から審査済みの正しいサイトであることがわかります。

【Microsoft Edgeの場合】
(1)アドレスバーの鍵マークをクリックする
(2)「証明書の表示」をクリックする

「https」ではじまるURLでも安心できない理由と対策について

(3)右側に表示される「証明書情報」内の上部ブロックの最下部を確認する

(4)(3)の場所をクリックし、下部ブロック内の「サブジェクト代替名」を確認する

「https」ではじまるURLでも安心できない理由と対策について

(3)または(4)で表示されているドメイン名(「example.com」など)が、アドレスバーに表示されているものと同じであれば、認証局から審査済みの正しいサイトであることがわかります。

共有SSLと独自SSLを見分ける

共有SSLと独自SSLをある程度見分けるには、「サイトシール」や「安全・安心マーク」と呼ばれるSSL・電子証明の認証を受けていることを示す動的な画像(注)がサイト内に貼り付けてあるか、URLが独自ドメインになっているか、さらには上記のように証明書の詳細からサブジェクトをクリックしたときに運営者の所在地が表示されているかを確認します。

「https」ではじまるURLでも安心できない理由と対策について

▲Chromeの場合

「https」ではじまるURLでも安心できない理由と対策について

▲Microsoft Edgeの場合

(注)画像の形をとっていますが、サイト内にSSL証明書がないと表示されない仕組みになっています。また、仮に画像のみを表示させたとしても、クリックして表示されるはずのサイト運営者のプロフィールが表示されないことから本物か偽物かを見分けられます。

より高いレベルで安全性が担保されているSSL――EV証明書

このように、SSL証明書が発行されているはずの鍵マークが表示されているサイト(URLではhttpsではじまるもの)であっても、安全度にレベルがあり、場合によっては詐欺集団がSSL証明書を取得しているということがおわかりいただけたのではないかと思います。

しかし、(乗っ取られてさえいなければ)安全なWebサイトを見分ける方法もあります。それは、アドレスバーのURLの前に組織名が表示されているかどうかを確認するというものです。

アドレスバーに組織名が表示されているかを確認しよう

【実例その1】BIGLOBE

BIGLOBEを例に取ってみましょう。通常のトップページでは鍵マークが表示されているだけですが、「マイページ」をクリックしてログイン画面に進むと「BIGLOBE Inc.」と、社名が表示されます。

「https」ではじまるURLでも安心できない理由と対策について

【実例その2】ゆうちょ銀行

ゆうちょ銀行のサイトでも同様に、トップページでは鍵マークが表示されているだけですが、ゆうちょダイレクトにログインするページに進むと「JAPAN POST BANK Co., Ltd」と表示されます。

「https」ではじまるURLでも安心できない理由と対策について

【実例その3】シマンテック社

セキュリティーソフト「Norton」でおなじみのシマンテック社では、トップページから社名が表示されています。

「https」ではじまるURLでも安心できない理由と対策について

まとめ

このように、社名や組織名が表示されているものは、SSL証明書の中でも最もレベルの高い通称EV証明書と呼ばれています。これは、認証までの審査が特に厳格に行われていることを示すもので、実体のある組織にのみ発行される証明書です。このようなサイトであれば、安心してクレジットカードや個人情報を入力することができるでしょう。

なお、SSL認証にはレベルが存在しますが、暗号化の強度には違いがありません。ただ単に、「このサイトであれば、個人情報を悪用することはないだろう」という判断基準の1つになるというだけのものであることを忘れないようにしましょう。

また、フィッシングなどの被害に遭わないために、何かしらのセキュリティー対策ソフトを入れておく、Webブラウザーを常に最新のものにしておくといった対策もしておきたいものですね。

関連記事

PSマークってご存知ですか?ネットで買い物するときにもしっかりと確認しよう!
短縮URLって何?利用するメリットとクリックするときの注意点
偽サイトでモノを買ってしまい、クレジットカードが不正利用された話

ピックアップ

渡辺まりか

デジタルガジェットをこよなく愛するフリーライター。専門学校で約10年の講師経験あり。小型船舶操縦士免許2級、乗馬5級、普通自動二輪免許など趣味多し。

記事(8本)を見る

  • PC右カラム300×100
  • Twitterでつぶやかれている記事

    • Twitterで最新&注目記事をチェック
    • Facebookで最新&注目記事をチェック
    • メルマガで最新&注目記事をチェック