サイトが安全かどうかは HTTPS 化しているかでは判断できない話
概要
HTTPS 化されているサイトだとしても、あなたが本当にアクセスしたいサイトなのか、偽のサイトなのかは判定してくれません。
そのため、HTTPS 化されているサイトだから安全、HTTP のままだと安全じゃない、という判断は危険です。
なぜ書いたのか
よく、HTTPS 化されていないサイトは安全じゃないとか、HTTPS 化されているから安全だとかいう話題がよく SNS などで繰り返されています。
しかし、それに対して「わかってない」みたいな指摘はあるものの、理由まで説明してくれている人が少ないように感じたため、この記事を書いています。
HTTPS は何を守るのか
HTTPS は正式には HTTP over TLS と呼ばれ、TLS というセキュアな通信方法を利用して HTTP 通信をしています。
HTTPS の通信でサイトにアクセスしているときは URL の最初が「http://・・・」ではなく、「https://・・・」となります。また、ブラウザによっては上部の URL の欄に鍵マークが付いたりします。鍵マークがつくとなんだか安全そうに見えますね。
通信におけるセキュリティ上の問題には主に以下の 4 つがあります。
このうち、TLS は盗聴、なりすまし、改ざんを防止します。
- 盗聴
- なりすまし
- 改ざん
- 否認
なりすましの防止があるということは、アクセスしようとしているそのサイトが偽サイトでないことを証明してくれるのでしょうか。
なりすまし防止
残念ながら証明してくれません。
なりすましの防止では、アクセスしようとしている URL に正しくアクセスできていることは担保してくれますが、それが偽サイトかどうかは判断してくれません。
どういうことかわかりにくいと思うので、想像しやすい電話で例えます。
A さんの電話の電話番号が 000-1111-2222 だとしましょう。
B さんの電話の電話番号は 000-8888-9999 だとしましょう。
なりすましの防止とは、「A さんにかけるつもりで 000-1111-2222 にかけたのに、B さんの電話につながること」を防止してくれます。
しかし、「A さんにかけるつもりで誤って 000-8888-9999 にかけて、B さんの電話につながること」は防止してくれません。
フィッシング詐欺などで、Amazon のログイン画面そっくりな攻撃者のサイトにアクセスしてしまった場合、アクセスした人は Amazon にアクセスしているつもりで、URL をよく見ると「www.amazone.co.jp」なんてなっているかもしれません。
まとめ
サイトが安全かどうかは HTTPS 化しているかでは判断できません。
URL をしっかり確認しましょう。また、メールやショートメッセージの URL にすぐにアクセスしてはいけません。
テキストの表示は正しい URL にしておきながら、リンクの URL は異なる、なんて罠も普通に仕掛けられていますので、パッと見では全くわからない場合も多いですので注意が必要です。
Discussion