「鍵のマークSSLやhttpsは安全」は過去の常識。今では非常識です!
それは大昔の話です。今では安全とは関係ありません。
過去の常識が今の非常識になる事は多々ありますが、進歩の著しいデジタルの世界では数年で常識ががらりと変わってしまいます。
皆さんはSSLと言う言葉をご存知でしょうか?
インターネットにおいてサービス側のサイトとお使いのブラウザー間のデータのやりとりを暗号化して途中で盗み見る事をできなくする技術と規格がSSLです。
SSLに対応したサイトのURLの冒頭は「http」ではなく「https」と「S」が付き、ブラウザで見ると、下のようにURLが表示されるバーの端に「鍵のマーク」が表示されます。
つまり
SSL対応=https://のURLのサイト
と言うことになります
下はデジタルキーパーのサイト(https://digitalkeeper.jp)をブラウザーで見たときの表示です。
「鍵」がついてますね。
ところがこのSSLや鍵マークの解釈に大きな間違いがまかり通り、「常識」がかえって犯罪を生んでしまっています。
それは
- 「鍵マークがつくサイト、httpsではじまるURLのサイトは安全です」
- 「悪意あるWebサイトにひっかからないよう、URLバーの鍵マークを確かめましょう」
の考え方です。
このような記載は今でもあちこちで見られ、セキュリティ情報のサイトや教本などにも堂々と記載されています。
しかしこれは全く昔の古い考え方で今や「完全な間違い/非常識」なのです!
SSLやHttpsの本当の意味は?
そもそもSSLとは「ブラウザーとサイトの間のやりとりを暗号化する」という規格で、サイトの正当性を証明するものではありません。
またサイトがSSLに対応するためには「SSL証明書」を証明業者から購入してサイトに組み込む必要があります。
昔はこのSSLを使うためには申請や審査にお金も手間もかかり、結果として「信頼性の高いサイトしかSSLを導入していなかった」に過ぎません。
ところが、セキュリティ意識の高まりにより、次第にSSLを使うことが標準になりました。
今ではChromeのようなプラウザーは、SSLに対応していないサイトは「危険」と表示され、誰も見てくれなくなりました。
こうなると既にSSLは必需品となってしまい、証明書を発行する業者も増え、コストも手間も下がり、今ではほとんど無料で誰でもすぐに取得できるようになってしまいました。
詐欺サイトもしっかりSSLを導入し「鍵マークが出ていることは当たり前」になりつつあります。
SSLは通信の暗号化を守りますが、今では取得者やサイトの信頼性とは全く無関係なのです。
しかし、今でも詐欺メールのURLをクリックして詐欺サイトに誘導されているにもかかわらず、「鍵マークがついているから安心だ!」と個人データを入れてしまう被害が後を絶ちません。
更新されない古い情報や常識の弊害です。
皆さんはどうぞお気をつけ下さい。
詳しいはぜひ以下の記事もご覧ください。
URLの「httpのsの有無」には確かにセキュリティ上大きな違いがあります。しかし「sがついているから安全、鍵マークがあ…
