全1552文字
個人情報を入力するWebサイトでは、Webブラウザーに鍵マーク(錠マーク)が表示されているのを確認する――。セキュリティーのセオリーとして、筆者が何度も記事に書いたフレーズだ。
だが、「鍵マークが表示されていれば安全」というHTTPSの神話は崩壊した。常識が変わったのだ。
米国の政府組織であるインターネット犯罪苦情センター(IC3)は2019年6月、「Webブラウザーのアドレスバーに、鍵のアイコンあるいは『https』という表示があるという理由だけでWebサイトを信頼しないでください」と注意を呼びかけた。
インターネット犯罪苦情センターよる注意喚起
(出所:インターネット犯罪苦情センター、https://www.ic3.gov/media/2019/190610.aspx)
[画像のクリックで拡大表示]
もはや鍵マークは信頼の証しではない。鍵マークは表示されて当たり前。鍵マークが表示されたからといって、そのWebサイトが安全とは限らないのだ。
HTTPS対応フィッシングサイトが当たり前に
WebサイトがHTTPS(TLS)に対応していると、Webブラウザーには鍵マークが表示され、URLは「https」から始まる。
HTTPSに対応したWebサイトはサーバー証明書をWebブラウザーに送信し、WebサイトとWebブラウザー間の通信は暗号化される。通信の盗聴は防げるが、これだけではそのWebサイトが信用できることにはならない。
