httpとhttpsの違いとは? 知っておきたいウェブセキュリティの常識と今後
ホームページのURLで見かける「https」の意味と「http」との違い、「https」だけでは安全とは言えない理由、ネット詐欺から身を守るコツなどを分かりやすく説明。
ホームページのURLがhttp://から始まるものと、https://から始まるものと2種類存在していることが気になったことはありませんか?あるいは、URLがhttpsから始まっていると安全だと耳にしたことがあるかもしれませんが、果たして本当なのでしょうか?
「http」に小さな「s」が付いているか、付いていないかだけの違いですが、これが意味するところを正しく理解することで、皆さんがインターネット詐欺の被害にあってしまうリスクを減らせるのです。
この記事ではHTTP (http://から始まるもの)とHTTPS (https://から始まるもの)の違いと、インターネットで詐欺サイトの被害に遭わないようにするためのワザを紹介します。
1.HTTPとは、HTTPSとは?
HTTP(Hyper Text Transfer Protocol)と、HTTPS(Hypertext Transfer Protocol Secure)はホームページを見るときにどんな通信手段を用いるのかというルールです。URLの始まりが「https://」だと通信内容が暗号化されます。「http://」から始まっていると暗号しないで通信している、ということが分かります。
郵便物にたとえると、HTTPは「はがき」で、HTTPSが「封書」のようなものです。HTTPでやり取りする情報ははがきのように配達系路上の第三者がのぞき見したり、勝手に何かを書き加えたりすることができます。一方、HTTPSの場合は暗号化されて封書のように中身が受け手以外には分からないようになり、安全です。
違いはブラウザの上部ウィンドウ付近で見分けることができます。
PCサイトでアクセスしたHTTPサイト (Chromeの場合)
PCサイトでアクセスしたHTTPSサイト (Chromeの場合)
スマートフォンでアクセスしたHTTPサイト(iOS Safariの場合)
スマートフォンでアクセスしたHTTPSサイト(iOS Safariの場合)
スマートフォンでアクセスしたHTTPサイト(Android WebViewの場合)
スマートフォンでアクセスしたHTTPSサイト(Android WebViewの場合)
2.HTTPだとダメなの?
HTTP接続だと安全性が不十分です。
なぜなら、老若男女誰もがインターネットを生活に欠かせないものとして利用し始めるようになり、ネット詐欺や暗号化されていない通信経路の盗聴や改ざん手法が一般化してきているからです。
初心者向けのハッキング手順書やツールが簡単に手に入るようになり、特別な技術がなくてもフィッシング詐欺や、MITM(Man in the Middle)攻撃などによるサイバー犯罪を行うことができるようになってきました。
特に無線LANの普及によって、攻撃者が無線LAN経由でMITM攻撃を仕掛けることが容易になってきています。個人情報の入力がある、ないにかかわらず、改ざんを用いた詐欺から身を守るため暗号化されたHTTPS通信を利用することが推奨されます。
実際に、警視庁によるとサイバー犯罪では詐欺の被害相談が最も多くなっています。サイバー犯罪等に関する相談件数の推移を見ると、詐欺・悪徳商法(インターネットオークションを除く)被害相談件数は増加基調にあり、2015年には67,026件もの相談が寄せられていることがわかります。注文した商品が届かないといった、オークション過程での詐欺も含めるともっと多くなります。
HTTPSだけで詐欺・悪徳商法の犯罪が100%防げるわけではないですが、HTTPSのほうが、通信が見知らぬ誰かに盗聴されない、詐欺を働きにくくする、マルウェア混入を防ぐ、サイト運営者の正当性が判別できる、などの技術的優位性があります。
ではHTTPSで通信していれば100%安全なのでしょうか?
3.「https://」から始まっているだけだと、安全じゃない理由
HTTPS通信の方がHTTP通信より安全ではありますが、100%安全ではありません。
通信がHTTPSであったとしても、通信相手が正しくないとデータを守ることができないからです。
確かにHTTPSになっている場合は暗号化通信ができるので、第三者による盗聴のリスクは下がります。しかし、通信相手が偽者だと意味をなしません。相手が本物であることが重要です。
例えば、郵便物や電話の場合は郵便会社や電話会社がインフラを整え、きちんと本物の相手につなげてくれます。ところがインターネットではインフラはみんなで作る仕組みになっているので、郵便や電話と違い、本物の相手につなげることを保証してくれる事業者がいません。知らぬ間に通信系路上に悪い人が紛れ込むことが比較的容易です。そのため、HTTPS通信では暗号化と共に通信相手を確認するための手段である「証明書(SSLサーバ証明書)」が利用できるようになっています。
ところが近頃はこの証明書までもが犯罪に悪用されています。証明書を使って本物と見まがうような偽のウェブサイトを用意し、そこに被害者をおびき寄せて個人情報を盗む、悪質なマルウェアに感染させる、などの手口です。ですからHTTPSであっても安心できる証明書なのか、まで見分ける必要があります。
実はドメイン名の所有者であれば個人であっても誰もが無償で証明書を持てます。無料で入手できることもある、ドメイン認証(DV)というタイプの証明書はドメイン名の正当な所有者であることが認証されたうえで発行されますが、本物の企業、団体であるかは確認されません。つまり、ドメイン名の所有者が犯罪者であっても正当な証明書を持てることになります。
そこで、インターネットの詐欺から身を守るためには、HTTPSに加えて相手がいかに本物であるか、詐欺師ではないかを見極めるスキルが必要になってきます。また、安心できる証明書を使って本物を見分ける、とても便利なワザがありますが、意外と知られていませんので後ほど紹介します。
4.詐欺サイトではないかを見分ける方法7つ
インターネット上で詐欺サイトかどうかを見分けるのに、次のようなテクニックがあります。
4-1.amazon、楽天、Yahoo!ショッピングなど名の通っているモールかどうか確認する
amazon.co.jp、rakuten.co.jp、shopping.yahoo.co.jpなどのURLから始まるオンラインショップの場合は一定の審査基準を経てショップを運営していますので、安心感があります。ただし、これらのサイトを真似して詐欺サイトを作るケースが多いので見た目だけではなく、しっかりとURLを確認するようにしてみてください。
4-2.掲載メールアドレスを確認する
問い合わせやサポートに@gmail.com、@yahoo.co.jp、@outlook.com、@qq.comなどのフリーメールを使っている場合は詐欺である可能性が高くなるので、利用を避けたほうがよいです。しっかりしたサイトは会社名やサービス名に関係した独自のドメイン名のアドレスを利用しているケースが大半です。
4-3.振込み先が個人名義の銀行口座になっていることを確認する
振込先口座の名義が企業名ではなく、個人名になっていたり、見慣れない銀行の口座の場合も慎重になったほうがよいです。詐欺サイトは足の付きにくい、あるいは不正に盗んだ個人名義の銀行口座を利用することが多いです。
4-4.詐欺の被害報告がないか口コミ情報を確認する
Webサイト名やサービス名などで口コミを検索してみてください。詐欺サイトの場合、詐欺被害にあった、といった他人の書き込みが散見されることがあります。
4-5.実店舗があるかどうか確認する
詐欺サイトは実店舗を持たずオンライン上で神出鬼没を好みます。実店舗や運営者のオフィスがある場合は地に足がついた運営者が運営しているサイトで安心感が高まります。ただし、いちいち住所があるところまで訪問して確認することは容易ではありません。
多くの企業が使用するEV SSLサーバ証明書が入っているWebサイトの場合は、専門機関が住所まで確認していることで信頼性が格段にあがります。
4-6.携帯番号ではない電話番号が掲載されていることを確認する
正規の企業は営業問い合わせやサポートを積極的に対応することが一般的です。
偽サイトの場合は電話でばれることを避けるために電話番号の掲載が無いことが多いです。ただし、逆に電話番号を掲載し信頼感を出そうとする場合もあるのであくまでも、目安程度と考えておいてください。
4-7.証明書で本物であることを確認する
「https://」から始まるURLにアクセスしている場合でも「https://」を利用した詐欺サイトである可能性が排除できません。証明書の中身を確認することで実在している会社、団体かどうかが分かります。確認方法については次の章で詳しく述べます。
5.証明書を確認して本物の運営企業を調べる方法
ではhttps://で始まるけど、初めて見るURLだったらどうすればいいのか?
PCのブラウザから下記の手順で証明書の中身を見てみてください。⑦のように「O =」に正当な企業名が記載されていれば信頼できます。企業認証(OV)というタイプの証明書の場合は「O =」に企業名が記載されます。これは認証局(デジサート、ジオトラスト、グローバルサイン、セコムトラストなど)と呼ばれている専門機関が、企業が実在しているかどうかを確認したうえで発行する証明書です。一方ドメイン認証(DV)の場合は⑦のように「O =」が無いか、企業名の代わりにドメイン名が表示され、運営企業が確認できません。
「O =」は次のように確認することができます。
(Windows / Chromeの場合)
①ブラウザでHTTPSのページにアクセスして鍵アイコンを確認
②「証明書」の部分を選択
③「詳細」をクリック
④「サブジェクト」を選択
ウィンドウの下半分に証明書内容の詳細が表示されるので 「O =」 に注目してください。
認証された社名が表示されます。
[企業認証 (OV) の場合]
[ドメイン認証 (DV) の場合]
DVの証明書の場合、会社は認証されないので、代わりにウェブサイトのドメイン名が表示されます。この場合運営者が本物と確認できないので、ウェブサイトに記載の問い合わせ窓口に連絡をしてみる、または信頼できる別のウェブサイトを利用することをお勧めします。
上記の①~④の手順を踏むことで証明書の中身を確認できるのですが、結構手間ですよね?
また、スマホではブラウザによっては証明書の中身が確認しづらいケースがあります。
WebサイトにEV SSL証明書というタイプのものが導入されている場合は証明書の下の部分に企業名が表示されます。
確認が簡単にできるので、大手を中心に導入されています。特に詐欺サイトの運営者は足がつくのを嫌がるのでOVやEVタイプの証明書が利用されているWebサイトは正規の企業である可能性が非常に高くなり、安心できます。
下記の例ではEV タイプの場合 「NortonLifeLock Inc.」という企業名が表示されているのが分かります。
(Windows / Chromeの場合)
6.ウェブサイトは安全かつSEOにも強い「常時HTTPS」が主流に
HTTPSのサイトでは証明書から本物の運営者を調べることができることは前の項でお伝えしましたが、HTTPSのウェブサイトがもたらすメリットはこれだけではありません。
HTTPSのウェブサイトは検索結果で見つかりやすくなります。
検索サイト大手Googleは検索結果ページにおいて、HTTPSページのほうをHTTPページよりわずかですが優先的に表示させるようにしています。HTTPSによって暗号化通信できるHTTPSページのほうがユーザの情報が守られるためです。そのため「常時SSL」化はウェブサイト運営者にとってはSEO施策のひとつになります。
また、Youtube、Instagram、TwitterなどのようにHTTPSされているウェブサイトにはHTTP/2という通信様式に対応しているものがあり、HTTPよりウェブページの表示速度が速くなります。昔はHTTPSのページは遅いとされていましたが、最近の技術革新によってむしろHTTPSページのほうがサクサク表示されることができるようになっています。
HTTPS化によってユーザ情報の安全性を高めるだけではなく、ユーザ体験の向上にもつながることから、また1章のスクリーンショットでもあるように、ブラウザ側ではHTTPページは「保護されていない通信」「安全ではありません」などの表示がなされるようになり、今やほとんどのサイトがHTTPSとなっています。
7.まとめ
httpで始まるURLとhttpsで始まるURLの違いから、詐欺サイトの見分け方について話をしてみましたがいかがだったでしょうか。
証明書の確認方法は詐欺サイトを見抜く上で初歩的なテクニックですが、案外知られていません。少し面倒なのですが、詐欺にあってしまった後に警察への連絡や返金手続きをすることに比べるとずっと簡単で楽な手間です。
痛い目にあってから後悔してしまわないよう、ぜひこの機会にぜひ詐欺サイトを見抜くワザを会得してみてください。
※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。
編集者注記: 私たちの記事は、教育的な情報を提供します。 私たちの提供物は、私たちが書いているすべての種類の犯罪、詐欺、または脅威をカバーまたは保護するとは限りません. 私たちの目標は、サイバーセーフティに関する意識を高めることです。 登録またはセットアップ中に完全な条件を確認してください。 個人情報の盗難やサイバー犯罪をすべて防ぐことは誰にもできないことと、LifeLock がすべての企業のすべての取引を監視しているわけではないことを忘れないでください。 Norton および LifeLock ブランドは、Gen Digital Inc. の一部です。
その他の情報
ノートンのソーシャルアカウントをフォローして、最新ニュースやお得な情報をゲットしよう。