事例Use case

実は身近にある驚異----HTTPSを使い、技術で情報を守れ

2019.4.26

ツイート シェア 送る はてブ

知っていますか?HTTPSとHTTPの違い。HTTPSが当たり前の時代だからこそ、気を付けるべし


皆さんはWebブラウザを使ってECサイトにアクセスし、家にいながらにしてお買い物を体験したことがあると思います。この時とても重要なのが「通信の暗号化」。SSLサーバー証明書を使ったHTTPS通信はかなり普及しており、ECサイトだけでなく多くのサイトが既に「錠のマーク」が表示されるようになっていると思います。

fig03_01.png#URLバーのところに「錠のマーク」、これがあればサーバーとの通信は暗号化されているという証拠


多くのサイトが常時SSL化に対応したいま、もう1度この「HTTPS」という仕組みに注目してみましょう。


HTTPSのメリット。大事な情報の「暗号化」とサイトの証明

身近なようでよく分からない「HTTPS」。とてもざっくり説明すると"あなたのPC/スマホと、通信先であるサーバーの間を暗号化し、盗聴や改ざんを防ぐ"という仕組みであると同時に、"あなたが通信しようとしているサーバーがなりすましによる偽物ではない"ということを証明してくれます。

まずは暗号化。暗号化を行うことで、あなたと通信先との通信内容を、第三者が見ることができなくなります。また、その通信内容を第三者がこっそりと書き換えることもできません。これにより、あなたが入力したIDやパスワード、クレジットカード番号は他の誰にも知られることなく、インターネット上で安全に買い物ができるわけです。

そしてもう1つ重要なのはなりすましの判別。これは少し注意して考えなくてはなりません。Webサイトの情報はすべてデジタルなファイルですので、コピーが簡単に行えます。そのため、本物とは異なる別のサイトを立ち上げ、まったく同じファイルを使って偽物のサイトを立ち上げることすらできます。デジタルなコピーですので、気を付けたら判別できるというわけでもないのです。万が一そんなサイトに接続して、パスワードやクレジットカード番号を入力してしまうと大変なことになります。

そこで、HTTPSの錠のマークが効いてきます。HTTPSで利用する「秘密鍵」はコピーできませんので、もし同じファイル、同じURLを名乗ったとしても、HTTPSで接続しようとすると、Webブラウザは「このWebサーバーは〜〜〜.jpと名乗っていますが、SSLサーバー証明書がありませんので錠のマークは出せません」と判断します。これなら、あなたもURLバーを見て判断ができますね。

でも1つだけ注意を。HTTPSで必要なSSLサーバー証明書はサイバー犯罪者も簡単に取得ができてしまいます。錠のマークだけに注目するのではなく、URL自体がよく似た偽物だったとしたら、HTTPSの仕組みで"サイバー犯罪者とあなたのあいだの通信を暗号化"して接続ができてしまいます。なので、HTTPSだから安心、と短絡的に考えるのはダメですね。


暗号化していないことに気がつけますか?

HTTPSによる暗号化ができていると、実はとても便利になります。TwitterやFacebookのような著名なSNS、そしてGmailなどのWebメールサービスのほとんどはHTTPSで接続されていますので、数年前まではリスクが高く危険と言われていた、街中にある暗号化されていない「公衆無線Wi-Fi」だって使えるようになります。もちろん、それでも企業組織などで禁止されている場合はNGではありますが、個人レベルであれば十分リスクを許容できるでしょう(ただし、POPやFTP、telnetといった認証情報を暗号化せずに通信するプロトコルは公衆無線Wi-Fiで使用すべきではありません)。

と、ほとんどの場合でHTTPSが当たり前になると、今度は逆に「HTTPでしか提供されていない」というWebサイトに注意しなくてはなりません。Google Chromeなど最近のWebブラウザでは、HTTPで接続されているサイトに対してURLバーに「保護されていない通信」と明示的に表示するようになっています。ところが、習慣とは恐ろしいもので、錠のマークが当たり前になるとなかなかこういった部分に気を付けるということを忘れてしまいがちです。

実は私も、HTTPSが当たり前になりすぎて思わず失敗したことがありました。HTTPSに対応していないサイトでログインを行ってしまったのです。実はログインをしようとしたときには全く気が付かず、ID、パスワードを入力したのにログイン処理が進まないことで初めて気が付きました。ログイン処理が進まなかった理由は、「SECURIE」のルーターが"止めてくれた"からです。

fig03_02.png

#「SECURIE」が暗号化されていないサイトでログインしたのを止めたときの通知を再現。下部にある「許可」ボタンを押すとログイン処理が行われるが、IDとパスワードなど認証情報は暗号化されずに送信されるため、盗聴のリスクがあるので注意すべきだ


暗号化されていないサイトにログイン情報を入力し、送信しようとすると、上記のアラートがスマートフォンに通知が送信され、すぐにリスクに気が付けます。上記は、家庭内に設置したNAS(ネットワーク接続のハードディスク)のログイン情報であるため、問題ないのですが、もしインターネット上にある普通のWebサイトにログインしようとしたときにこのアラートが出たときには、要注意。もしかしたら、普段よく使うサイトがなりすまされている可能性があります。

これまでは、なりすましに対しては「気を付ける」ことが対策の1つでした。しかし、それにも限界があります。基本的には、気を付けるで対抗しつつ、"気を付ける"だけでは漏れてしまう分を、テクノロジーを利用してそっと教えてくれるという方法があるのはありがたいですね。

脅威の見える化は、より重要に

普段はHTTPSの恩恵を受け、安全、安心なインターネットを利用できるようになりましたが、ともするとそれが当たり前になってしまい、警戒心が薄れてしまいます。サイバー犯罪者はその慢心を突いて、あなたの情報を狙います。
こういった脅威が身近にあるということがわかるだけでも、サイバー犯罪者の思考の1歩前に行けるはず。気を付けつつ、最新の技術に頼ることで対抗していきましょう。




執筆者

宮田 健(みやた たけし)
国内大手SI事業者、および外資系大手サポートにてエンジニア経験を積み、2006年にITに関する記者、編集者に転身。その後はアイティメディアのエンジニア向けメディア「@IT」編集者として、エンタープライズ系セキュリティに関連する情報を追いかける。 2012年よりフリーランスとして活動を開始し、"普通の人"にもセキュリティに興味を持ってもらえるよう、日々模索を続けている。
個人としては"広義のディズニー"を取り上げるWebサイト「dpost.jp」を運営中。公私混同をモットーにITとエンターテイメントの両方を追いかけている。 著書に「Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!」(MdN)、「デジタルの作法 1億総スマホ時代のセキュリティ講座」(KADOKAWA/中経出版)がある。