セキュリティ

「HTTPSはどのようにして人々を守るのか?HTTPSさえあればウェブは安全なのか?」についてMozillaが解説


インターネット上で目にする「HTTPS」や「HTTP」というワードについて、「どちらもウェブサイトの通信に関係していて、HTTPSの方がセキュリティ的に優れている」となんとなく理解はしていても、詳しいことは知らないという人は多いはず。ブラウザのFirefoxを開発するMozillaが、「HTTPSはどのようにしてインターネットユーザーを守るのか?HTTPSさえあればウェブは安全と言えるのか?」といった疑問について解説しています。

How does HTTPS protect you (and how doesn't it?) - The Mozilla Blog
https://blog.mozilla.org/en/products/firefox/https-protect/

◆HTTPSはどんな役割を持っているのか?
HTTPSは、従来のHTTPによるデータ通信をSSL/TLSプロトコルを使用して暗号化し、より安全な接続でデータ通信を行う仕組みを指しています。HTTPSでデータ通信を行うことにより、悪意のある攻撃者がユーザーとウェブサイトの間で送受信されるデータを盗み見るのを防ぐことが可能です。

また、HTTPSにはインターネットサービスプロバイダ(ISP)がウェブサイトのトップレベルを超えて、それ以上詳細にアクセスしたページを確認できないようにする機能もあります。たとえば、ISPはユーザーが「https://www.reddit.com」にアクセスしたことは把握できても、より深く「https://www.reddit.com/r/CatGifs/」にアクセスしたことまでは知ることができないとのこと。

Firefoxでは接続したウェブサイトがHTTPSかHTTPかを見分けるため、アドレスバーの左側に鍵アイコンが表示されています。鍵アイコンが正常であればHTTPS接続であり……


アイコンに赤い斜線が入っていればHTTPです。


◆HTTPSは万能なのか?
HTTPSは安全なデータ通信を提供してくれますが、これさえあればインターネットにおけるセキュリティは万全、というわけではないとMozillaは指摘。あくまでHTTPSはデータ通信が暗号化されたプライベートなものであることを保証するだけであり、ウェブサイト自体が詐欺やマルウェアを仕掛けている場合はHTTPSであっても関係ありません。HTTPS接続を提供できるのは信頼できる安全なウェブサイトだけでなく、悪徳商法やフィッシング詐欺、マルウェアの配布に使われるウェブサイトもHTTPSを提供できます。

MozillaはHTTPSについて、「これは電話に似ています。電話会社は、詐欺師があなたに電話をかけて、クレジットカード番号を取得しようとすることに責任を負いません。あなたは自分が誰と話しているのかについて、精通している必要があります。HTTPSの仕事は安全な回線を提供することであり、詐欺師と話をしないことを保証するものではありません」と述べました。


◆詐欺サイトを見分ける方法は?
詐欺師にだまされないためには、ユーザー自身が危険なサイトを見分ける能力を養う必要があります。Mozillaは、詐欺師がユーザーをだますために巧妙な手を使ってくることを理解する必要があると指摘しています。

たとえば、「不審な取引が確認されたため、お客さま名義のA銀行のアカウントを凍結しました。アカウントを復活させたい場合は、以下のリンクをクリックして、再度パスワードを入力してください」という電子メールが届いたとします。もしA銀行のアカウントを持っていなければ、「これはフィッシング詐欺だ」とすぐわかりますが、もしA銀行のアカウントを持っている場合、不安になってリンクをクリックしてしまうかもしれません。

しかし、Mozillaは電子メールに記載されているリンクをクリックするのは、基本的に危険な行動だと警告しています。こうしたメールを受け取った場合は、電子メールからではなくブラウザから直接アカウントにアクセスするか、電子メールが本物かどうかを確かめるため、公式サイトに記載されている問い合わせ用の電話番号に電話をかける方が安全だとのこと。

また、Firefoxにはデフォルトで「偽装サイトとマルウェアからの防護機能」が実装されており、訪問したウェブサイトが危険なウェブサイトとして報告されている場合、ユーザーに警告を発する仕組みになっています。こうした保護機能から警告を受けたのであれば、大人しくウェブサイトから立ち去るべきです。


◆HTTPSの重要性
HTTPSは直接アプローチをかけてくる詐欺師を排除するわけではないものの、顧客ログインなどを設けるウェブサイトにおいて、外部から通信をのぞき見されないようにする役には立ちます。Firefoxでは「HTTPS-Only」にすることで、HTTPとHTTPSの両方に対応しているウェブサイトで強制的にHTTPSを使用することができますが、中には依然としてHTTPSに対応していないウェブサイトも存在します。

HTTPSへの切り替えは、無料でSSL証明書を発行する「Let’s Encrypt」を利用して簡単にできます。Mozillaは、ウェブ全体の安全性を高めるためにも、ユーザーがHTTPS未対応のウェブサイトを見つけた場合は、電子メールや問い合わせフォームを通じてHTTPSへの切り替えを促してほしいと訴えました。

この記事のタイトルとURLをコピーする

・関連記事
使いこなせばインターネットの達人になれる「Firefoxの秘密の便利機能11選」をMozillaが解説 - GIGAZINE

Firefoxが通信暗号化システム「DNS over HTTPS」の対象地域拡大を発表、一体何が変わるのか? - GIGAZINE

ついにFirefoxがDNSとの通信を暗号化する「DNS over HTTPS」をデフォルトで有効にすると発表 - GIGAZINE

Firefoxがウェブの未来のために戦う理由とは? - GIGAZINE

Mozillaが「スパイウェアを見つける方法」を解説 - GIGAZINE

Firefoxは過去6カ月間でどのようなパフォーマンス改善に取り組んできたのか? - GIGAZINE

Firefoxに「サイト隔離」機能が登場、「Spectre」「Meltdown」への根本的な対策に - GIGAZINE

・関連コンテンツ

in ネットサービス,   セキュリティ, Posted by log1h_ik

You can read the machine translated English article here.