個人情報を入力するWebサイトでは、Webブラウザーに鍵マーク(錠マーク)が表示されているのを確認する――。セキュリティーのセオリーとして、筆者が何度も記事に書いたフレーズだ。

 だが、「鍵マークが表示されていれば安全」というHTTPSの神話は崩壊した。常識が変わったのだ。

 米国の政府組織であるインターネット犯罪苦情センター(IC3)は2019年6月、「Webブラウザーのアドレスバーに、鍵のアイコンあるいは『https』という表示があるという理由だけでWebサイトを信頼しないでください」と注意を呼びかけた。

インターネット犯罪苦情センターよる注意喚起
(出所:インターネット犯罪苦情センター、https://www.ic3.gov/media/2019/190610.aspx)
[画像のクリックで拡大表示]

 もはや鍵マークは信頼の証しではない。鍵マークは表示されて当たり前。鍵マークが表示されたからといって、そのWebサイトが安全とは限らないのだ。

HTTPS対応フィッシングサイトが当たり前に

 WebサイトがHTTPS(TLS)に対応していると、Webブラウザーには鍵マークが表示され、URLは「https」から始まる。

 HTTPSに対応したWebサイトはサーバー証明書をWebブラウザーに送信し、WebサイトとWebブラウザー間の通信は暗号化される。通信の盗聴は防げるが、これだけではそのWebサイトが信用できることにはならない。

この先は会員の登録が必要です。今なら有料会員(月額プラン)が2020年1月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら