Webブラウザでいろいろなホームページを見ていると、たまにWebブラウザの上部にあるアドレスバーが緑色になることがあります。そのページでアドレスバーに表示されている文字列(URLアドレス)を見ると、「https」で始まっていることがわかります。でも、URLアドレスが「https」で始まっていても、アドレスバーが緑色にならない場合もあります。この違いは何でしょうか?ここでは、httpとhttpsの違いを理解してインターネットを安全に利用するために知っておきたい6ヶ条を解説していきます。
目次
1 httpとhttpsの違い
Webブラウザのアドレスバーに表示されるURLアドレスは、インターネットでの接続先を人間がわかりやすいように示すものです。たとえば、Yahoo! JAPANのページを開くと、アドレスバーに「https://www.yahoo.co.jp/」と表示されます。まずはこのURLの構造と意味について、図で説明します。
最初の「https://」というのは、通信の種類を表します。インターネットでは、さまざまな種類の通信ができるようになっていますが、「https」または「http」は、「Webブラウザを使ってホームページを見る」という種類(専門的にはプロトコルといいます)になります。
そして、httpとhttpsの違いは、通信が暗号化されているかどうかを意味します。「https」は暗号化された通信、「http」は暗号化されていない通信を指します。これによってURLアドレスを見て暗号化されているページかどうかを示しています。
※Google Chromeで表示されるhttpsで始まるURLの例
2 httpsは暗号化された通信
2-1 httpsとは
もともと、Webブラウザによる通信は暗号化されていませんでした。しかし、ホームページが普及して、Webブラウザで利用できるサービスが増えてきました。そうなると、たとえばショッピングサイト(ここで言うサイトはホームページの意味です)では、配送のために氏名や住所などを入力したり、決済のためにクレジットカード情報を入力したりします。
このときに通信が暗号化されていないと、何らかの方法で通信内容を盗み見られたときに大切な個人情報を知られてしまい、悪用される危険性があります。たとえば、Wi-Fi(無線LAN通信)では電波を傍受することで通信内容を盗み見ることができてしまいます。
そこで、httpの通信を暗号化するhttpsが登場しました。httpsが利用できるようになってからは、ショッピングサイトなどの決済ページやサービスへのログインページ、企業のホームページの採用情報の資料ダウンロードページなど、個人情報を入力するページがhttpsになりました。最近では、すべてのページを暗号化する「常時SSL化」も進んでいます。
2-2 SSLとは
SSL化は暗号化と同じ意味と考えて問題ないですが、暗号化する際にはその暗号を解くための鍵を、ホームページ側(Webサーバー)とWebブラウザ側で同じものを持つ必要があります。そのために使用するのが「SSLサーバー証明書」なので、SSL化と呼ばれています。最近では「SSL/TLS」と呼ばれることもあります。
SSLもTLSも、暗号化の方式の名前です。ただし、注意しなければならないのは、httpsが表示されている、つまり暗号化されていれば安全、安心ではないということです。というのも、SSLサーバー証明書にも種類があって、信頼性が異なるのです。
3 https(SSL)にも種類がある
3-1 SSLサーバー証明書とは
SSLサーバー証明書は、実は誰でも作ることができます。そのため、常時SSL化されたホームページでも社内にのみ公開しているページや、入力エリアのないページなどに自社製SSLサーバー証明書を使うケースもあります。しかし、こうした証明書は信頼性が高いとはいえません。
そこで、安全で信頼性の高いSSLサーバー証明書を発行する「認証局」(CAとも呼ばれます)というものがあります。認証局は、第三者機関によって安全性や信頼性が証明されているので安心です。しかし、だからといって認証局が発行するSSLサーバー証明書なら、どれも安全というわけではありません。SSLサーバー証明書にも種類があるためです。
3-2 SSLサーバー証明書の種類
SSLサーバー証明書は、一般的に「ドメイン認証(DV)」「企業認証(OV)」「EV認証(EV)」の3種類があります。その違いは信頼性です。認証局にSSLサーバー証明書を発行してもらうときに、DV証明書はそのドメインがあるかどうかの確認しかしません。OVはその企業が実在するかどうかを確認し、EVではその企業について厳格な調査を行います。DV<OV<EVの順に信頼性が高くなるわけです。
3-3 証明書=安全とは限らない
最近では、DV証明書を無償で提供するケースも増えていて、これは常時SSL化の際に重要度の低いページに使用するのであれば何も問題ありません。しかし、無償で利用できる上に企業の実態がなくてもいいわけですから、サイバー犯罪者が利用するケースが増えています。たとえば、人気商品を格安で買えるといってユーザーをだます詐欺サイトや、実在するサービスと同じ見せかけでログイン情報などを盗もうとするフィッシングサイトでも、httpsになっていたりします。暗号化されているからといって安全であるとは限らないのです。
4 SSLサーバー証明書の種類を確認するには
たとえhttpsで暗号化されているホームページであっても、必ずしも安全であるとは限りません。でも、そこにどのような種類のSSLサーバー証明書が使われているのかは、調べることができます。無償で利用できるDV証明書を使用しているホームページは信頼性が低いといえますので、注意が必要です。まずは、Webブラウザのアドレスバーをチェックしてみましょう。
アドレスバーが緑色になっていて、URLアドレスとともに企業名や団体名が表示されている場合は、もっとも厳格なEV SSL証明書が使用されている証拠です。これは、マイクロソフトのInternet ExplorerやEdge、GoogleのChrome、FirefoxといったWebブラウザ共通のものです。
ただし、Chromeで シマンテックが発行したEV SSL証明書を使用しているホームページを表示した場合、証明書の取得日によってはアドレスバーが緑色になりません。
DV証明書やOV証明書を使用しているときには、Webブラウザのアドレスバーは緑色になりませんが、鍵のアイコンが表示されます。またChromeでは「保護された通信」と表示されます。DV証明書かOV証明書かを確認するためには、アドレスバーの鍵アイコンをクリックすることで、詳細情報をチェックできます。ここにドメイン名しか表示されていない場合はDV証明書、企業名も表示されている場合はOV証明書であると判断できます。
Webブラウザの中でも、Chromeは特にSSLサーバー証明書への評価が厳しくなっています。これは、GoogleがWebサイト閲覧時の安全性を推進しているためで、Chromeでは近いうちにDV証明書を使用しているホームページに対して注意を喚起する表示を行う予定としています。それだけDV証明書を使用しているホームページは危険性が高いと判断しているのです。
5 インターネットを安全に利用するための6か条
5-1 メールに記載されているリンクをクリックするときには注意する
最近では、本文にホームページへのリンクが設定されているメールが増えていますが、スパムメールやフィッシングメールもこの手法で危険なホームページに誘導します。スパムメールではウイルスに感染させるようなホームページや詐欺サイトに誘導し、フィッシングメールではログイン情報などを盗もうとするようなホームページに誘導します。
人気の商品を格安で購入できるというようなメールは、スパムメールの可能性が高いので注意しましょう。HTMLメール(メールの本文に画像などが表示されるメール)の場合は、リンク部分にマウスカーソルを合わせることでURLアドレスを確認できるので、クリックする前にそのアドレスが安全なものかどうか検索してみることもひとつの方法です。
また、銀行やクレジットカード、ショッピングサービス、オンラインゲームからログインを要求するようなメールは、フィッシングメールの可能性が高いといえます。まず、本文に自分の氏名やIDなどが記載されているかを確認し、文章の日本語におかしいところがないかを確認します。どうしても気になる場合は、Webブラウザのお気に入りなどからホームページにアクセスして、同じ情報があるかどうかを確認します。通常、直接ログインさせるようなメールは送信されないものです。
5-2 ページの遷移に注意する
偽サイトやフィッシングサイトでは、ユーザーが気づきにくいドメイン名を使用します。たとえば、本来は「yahoo.co.jp」であるドメイン名が「yehoo.co.jp」になっていたり、「yahoo.top」などになっていることがあります。こうしたホームページは危険性が高いので注意が必要です。
5-3 ページの暗号化をチェックする
ログインページや決済ページなどでは、そのページが暗号化されているかどうかをチェックしましょう。URLアドレスがhttpで始まっていたり、httpsであってもDV証明書を使用している場合には注意が必要です。
5-4 ポップアップで注意を促すようなサイトは注意する
ホームページによっては、警告画面がポップアップ表示される場合があります。たとえば、「この動画を再生するにはボタンをクリックして専用ソフトをインストールしてください」、あるいは「ウイルスが検出されました。ボタンをクリックしてセキュリティ対策ソフトをインストールして駆除してください」といった表示は偽物です。ウイルスに感染してしまう危険性が高いので、そのページは閉じて、アクセスしないようにしましょう。
5-5 ホームページの運営者の情報をチェックする
ショッピングサイトなどで人気の商品が格安で販売されていたり、品薄のはずの商品が大量に販売されている場合などは、詐欺サイトの可能性が高いといえます。また、事業者の名称、住所、電話番号、代表者または責任者氏名が記載されているかを確認します。これらは特定商取引法という法律で表記を義務づけられているので、表記されていなかったり、偽の情報が表記されている場合はアクセスを中止しましょう。
5-6 決済情報を確認する
ショッピングサイトなどで商品を購入する際には、決済方法をよく確認しましょう。個人情報やクレジットカード番号などを盗み出そうとする場合は、商品ページには複数の決済方法が表示されていても、決済画面ではクレジットカード決済しか選べないようになっていたりします。こうした場合も詐欺サイトなどの可能性が高いので注意が必要です。
インターネットは非常に便利ですが、その便利さにつけ込む犯罪も数多く存在します。お金を払ったのに商品が届かなかったり、ウイルスに感染させられるといった被害に遭うワナも多いので、上記のチェックをしっかり行って、インターネットを安全に活用しましょう。
著者:マカフィー株式会社 マーケティング本部