Help us understand the problem. What is going on with this article?

非技術者のためのWebセキュリティ その1

More than 3 years have passed since last update.

まとめ

  • URLに鍵マークが出ていれば安全なのか? → それだけでは安全とは言えません.誰と通信しているのかを確かめましょう.
  • 証明書エラーとか出たけど? → 絶対に接続してはいけません.

私はセキュリティの専門家ではないので,専門家のご意見があれば是非コメントにお願いします.

安全にウェブを使うために

HTTPS は何のためにあるのか?

HTTPS は Hypertext Transfer Protocol (HTTP) というサーバーと通信する方法を Transport Layer Security (TLS) 1を用いて暗号化したものです.これには3つの目的があります.

  • 相手との通信を暗号化し,傍受されても内容が分からないようにする
  • 改ざんされていないことを保証する
  • 通信相手が誰であるかを証明する 2

特に3つ目の「通信相手が誰であるかを証明する」はあまり気にされることがありません.しかし,いくら適切な暗号化手段を用いていたとしても通信相手が泥棒では意味がありません.この自分が想定している相手と通信しているかどうかを自分で確認する必要があります.

URLに鍵マークが出ていれば安全なのか?

ブラウザでウェブページを見ていると,URLのところに鍵マークが出ていることがあります.たとえば以下のような表示です.

ブラウザ スクリーンショット
Internet Explorer 11 Internet Explorer
Edge Edge
Safari Safari
Chrome Chrome
Firefox Firefox
iOS iOS
Android Chrome Android Chrome

この表示が出ているときには,そのウェブサイトとの通信はTLSを用いて暗号化されています.なので一見安全には見えるのですが,鍵が見えていても自分が想定している相手と通信していることは保証されません.あくまでも暗号化をしている表示だけで,そうやって話している相手が泥棒か,それとも正規の相手なのかは鍵のマークだけでは分かりません.なので,誰と通信しているかは自分で確かめる必要があります.

ちなみに Internet Explorer では鍵マークはURLの表示されている部分の右側に表示されています.もし,左側に出ていたらそれは詐欺サイトの可能性が高いので注意してください.

送信先が HTTPS だから送信フォームが HTTP でも大丈夫?

ダメです.HTTPSは暗号化して情報漏えいしないことを保証する以外に,情報が改ざんされていないことを保証します.もし,入力フォームが改ざんされていたとしても,HTTPSでなければ確認する方法がありません.そのため,必ず入力フォームを含めてHTTPSで提供する必要があります.よくありがちなダメなパターンとしては以下のようなものがあります.

  • 入力フォームがHTTPで,その送信先がどこかのウェブサービス
    • 送信先が正当かどうかをユーザーには判定できません.
  • オンラインで何かを支払うときに,外部委託のクレジット決済ページだけHTTPS
    • その外部委託のクレジット決済ページの支払先が正当かどうかを判定できません.

誰と通信しているかを確かめる方法

ドメインを確認する

まず,第一にドメイン名を確認しましょう.上の図であれば,www.google.co.jpgoogle.co.jpの部分がドメインになります.鍵マークが表示されていれば,最低でもそのドメインを所有していることが確認されているはずです(ドメインが乗っ取られていない限り).一文字違うだけで悪質なサイトにつながることもあるので,一文字たりとも間違っていないことを確認する必要があります.また,ドメイン名を所有していることは確認できても,実際にそのドメインを誰が所有しているかまでは次の証明書の内容を確認しないと分かりません

誰が運営しているか確認する

鍵のマークの隣に緑色で会社名が表示されていることがあります.その場合は,その会社が存在していて,確かにその会社が取得した証明書で安全性が確保していることが保証されます.鍵のアイコンをクリックすることで(iOS版 Safari 以外では),その会社がどこに登記されて,誰がそれを確認したのかを確認できます.以下の例では Microsoft Corporation が運営していて Redmond, Washington, US にあり, Symantec が検証したことを示しています.(VeriSign は Symantec に買収されて社名が変わっていますが,IE/Edge では旧社名で表示されています)

ブラウザ スクリーンショット
Internet Explorer IE
Edge IE
Firefox firefox1
firefox2
Chrome Chrome
Safari Safari

多くの銀行やクレジットカード会社では,オンラインで手続きをするときにこのように緑色で企業名が表示されるはずです.鍵マークは表示されていても企業名が表示されていないときは不正なソフトが盗み見ているかもしれません.マイクロソフト社のページでは2016年1月現在,必ず緑の企業名が表示されるはずですので,何かしらの良くないソフトがインストールされている可能性を疑ったほうがよいでしょう.

Android での確認の仕方

Android 版 Chrome ではこのような会社名がURL欄に出てくることがありませんので,Firefoxを利用したほうがよいでしょう.Firefoxであれば鍵マークをタップすることで会社名が確認できます.もし,銀行・クレジットカード会社が公式アプリを提供している場合には,そちらを利用すると安全に利用できるかもしれません(アプリがまともに作られていた場合に限る).

緑の企業名が正しければ安全なのか?

鍵マークが出ていて緑色で表示された企業名が正しければ,その企業と自分との間で誰かがなりすましをしていたり,盗聴している可能性は低いです.しかし,自分の使っているパソコンやスマートフォンがウイルス感染している場合には安全性は確保できないので,不審なソフトをインストールしないようにしましょう.

手軽に安全に使うためには?

オンラインバンキングなど,安全でなければならないサイトを使うときは一度誰が運営しているかを確認した上でブックマークに登録しましょう.そして,そのサイトにアクセスするときは検索を使ったり,メールのリンクをクリックするのではなく,必ずブックマークからアクセスするようにします.そうすれば毎回必ず同じドメインにアクセスできるので,そのサイトが不正アクセスを受けていない限り安全になります.

ブックマークに登録するのは鍵マークが出ているページにしましょう.日本の銀行サイトの多くはトップページがTLSに対応しておらず,改ざんされたとしても気付くことが出来ません.ネットバンキングのログインページであれば必ずTLSに対応し,多くの場合企業名が緑色の文字で表示されていますのでそちらをブックマークしましょう.

証明書エラーが出たら?

以下のような画面が出たら,絶対に次に進んではいけません.必ずタブを閉じてしまいましょう.誰かが盗み見しているかもしれません.特に,Safariを使っているといかにもささいな問題に見えますが,大問題ですので進んではいけません

Internet Explorer
Internet Explorer

Edge
Edge

Firefox
Firefox

Chrome
Chrome

Safari
Safari
IMG_0009.jpg

よくある間違い

  • 鍵マークが表示されたら安全 → 緑の企業名まで確認しましょう.
  • 暗号化のためものだから,ユーザーからの送信の時だけ HTTPS なら OK → 改ざんされていないことを保証しないと,どこに送られるのか分からないのでダメです.

  1. 昔はSSLと呼ばれていましたが,バージョンが新しくなって名前も変わりました. 

  2. 正確には TLS の機能はなく public key infrastructure (PKI) の機能です. 

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした