総務省が5月に発表した「通信利用動向調査」によれば、半数近くの家庭がインターネットの利用に「何らかの不安を感じている」そうです。不安の内容として最も多いのは、個人情報の保護に対する不安、次いでウイルス感染への不安となっています。今月と来月のトピックスでは、これらインターネット利用時の「二大不安」を軽減する、Webブラウザの機能と注意点を中心にご紹介します。今回は、不安の筆頭にあがった「個人情報の保護」に関するお話です。
「参考URL」平成22年通信利用動向調査の結果(総務省)
http://www.soumu.go.jp/menu_news/s-news/01tsushin02_01000014.html
<INDEX>
■「暗号化通信」で盗聴や改ざんを防ぐ
★コラム:SSLとTSL
■「暗号化通信」はブラウザの表示で確認
■「証明書」でわかる接続先
■無視してはいけない「証明書エラー」
・証明書が信頼できる機関から発行されていない場合
・コモンネームと実際にアクセスしているURLのサーバー名が異なる場合
・証明書の有効期限が切れている場合
・証明書が失効している場合
・証明書が改ざんされている場合
■メールの送受信もSSLで安全に
<以下本文>
Webサイトからの情報漏えいが相次いでいます。サイト側の問題に起因する被害の多くは、私たちユーザーにとっては防ぎようのないものですが、ユーザー側の問題を浮き彫りにするような事故も起きています。
今年3月、大手百貨店のショッピングサイトで、カタログの請求ページが暗号化されないまま送信されていたことが発覚しました。大手が運営するサイトのほとんどは、ログイン時や個人情報の入力時などに、SSLという技術を使った暗号化通信を行い、通信内容の盗聴や改ざんを防止しています。このショッピングサイトも例にもれずSSLを導入しており、ページにも「個人情報は、信頼性の高いセキュリティ技術のSSLを使用し暗号化しています」と記載していました。ところが、カタログ請求ページを開くリンクに、SSLで接続するための「https://」を付け忘れていたため、暗号化が有効になっていなかったのです。
暗号化なしでの運用は、カタログ請求ページが設置された前年5月以来10か月間もの間続き、この間に6064名の顧客から7444件の請求があったということです。大手百貨店のショッピングサイトだからと安心していた、暗号化しているとの記載を信じてしまった、あるいは、そんなことは端から気にも止めていなかった、という人もいるかも知れません。いずれにしても、これだけ多くの利用者が何の疑いもなく、氏名や住所、電話番号などの個人情報を送っていたというところに、ユーザー側の意識の危うさがあります。
ログイン情報や個人情報、クレジットカード情報といった、第三者に知られては困る情報を送る際には、必ず暗号化通信であることを確認し、暗号化なしで送らせようとしている場合には、怪しいと疑う習慣を身につけましょう。暗号化されているからといって、そのサイトが信用できるというわけではありませんが、暗号化されていない場合には、高確率で怪しいサイトに個人情報などを送ってしまうことになります。
Webサイトなどで用いられている暗号化通信技術を、一般にSSL(エスエスエル:Secure Sockets Layer)と呼んでいるが、実際にはこのSSLと、SSLをベースに標準化されたTLS(ティーエルエス:Transport Layer Security)という規格が用いられている。両者は厳密には異なるが、ユーザーが両者を意識する必要は特になく、ほとんど同じものと思ってよい。両者を合わせて「SSL/TLS」と表記することもあるが、たいていは古くから使われている「SSL」名で両者を総称しており、本稿でも、SSLとTLSを合わせて「SSL」と呼んでいる。
■「暗号化通信」はブラウザの表示で確認
暗号化通信が始まると、ブラウザはアドレスバー(ロケーションバー)やその隣に表示されるアイコンの背景をブルーやグリーンに変えたり、錠マークを表示して、暗号化通信であることをユーザーに知らせたりします。ログイン時や個人情報の入力時などには、必ずこのサインを確認するようにしてください。
フィッシングサイトなどのユーザーを騙そうとするサイトの中には、サイトのアイコン(ファビコン)やページ内に錠マークを表示したり、言葉で安全をうたい、ユーザーを欺こうとすることがあります。ページ内の表示に惑わされず、ブラウザがどう変化するのかをしっかり覚えておいてください。
図1:暗号化通信時の表示
図1-A:Internet Explorer(上から通常/SSL/EV SSL)
SSL接続時には、アドレスバーの右に錠アイコンが出現。EV証明書の場合には、アドレスバー全体がグリーン変わり、錠アイコンに組織名と認証機関を交互に表示。
図1-B:Firefox(上から通常/SSL/EV SSL)
SSL接続時には、ファビコンの背景がブルーに変わりドメイン名を表示。EV証明書の場合には、グリーンの背景色に変わり組織名を表示。
■「証明書」でわかる接続先
SSLには、盗聴や改ざんから通信を守る暗号化のほかにもうひとつ、接続先の信ぴょう性を確かめるという大切な役割があります。
暗号化通信を行う際、Webブラウザはサーバーから「デジタル証明書」を受け取ります。デジタル証明書は、サーバーの身分証明書に相当するものです。ブラウザは、証明書が信頼する会社(ブラウザに登録されている証明機関)から発行されているか、このサーバーの正式な証明書なのか、証明書の有効期限は切れていないかといったことを検証し、何も問題がなければ、暗号化通信を開始します。上掲の暗号化通信時の表示にあるブルーやグリーンの色の違いは、この時受け取った証明書の種類によって決まります。
・従来型の証明書
ブルーになるのは、従来からある普通のサーバー証明書の場合です。従来型の証明書は、認証局によって審査基準が異なり、最小の場合にはサーバーの実在性しか保証しません。より厳密な審査を経て発行されるものがある一方、そのドメインの所有者らしければ匿名で取得できるものもあります。暗号化されているからといって、正しいサイトに接続しているとは限らないので、接続先のURLも合わせて確認する必要があります。
ちなみに、証明書を表示して詳細情報のサブジェクト欄を見ると、その証明書がどんな内容を保証しているのかを確認することができます。以下は、サブジェクトに記載される項目名の意味で、コモンネームにサーバー名が記載されています。
CN = Common Name(コモンネーム)
OU = Organizational Unit(部門名)
O = Organizational Name(組織名)
L = Locality(市町村)
ST = State(都道府県)
S = State(都道府県)
C = Country(国)
・EV証明書
EV(Extended Validation)証明書(EV SSL証明書とも)と呼ばれる証明書の場合には、表示がグリーンに変わります。この証明書は、どこの誰が運営しているのかを厳密に審査したうえで発行されており、グリーン表示とともに、運営者の組織名がアドレスバーの横に表示されます。
図2は、9月初旬に出現したPayPalの日本語フィッシングサイトと本物の日本語サイトの画面です。PayPalのログインページは、必ずEV証明書を使った暗号化通信になるので、画面が酷似していても違いは一目瞭然です。
図2:PayPalのフィッシングサイトと本物のサイトの比較
図2-A:9月7日に出現したPayPalの日本語のフィッシングサイト
本物のログインページを改造して作られているため、見た目はそっくり。ドメイン名にも紛らわしい名前を使い、ユーザーを欺こうとしているが、暗号化には対応していない
図2-B:本物のPayPalのログインページ
本物のPayPalのログインページは、必ず暗号化通信で接続される。PayPalはEV証明書を使用しているので、紛らわしいドメイン名に惑わされることなく、一目でPayPalのサイトであることが分かる。
■無視してはいけない「証明書エラー」
サーバーから受け取った証明書に問題があると、ブラウザは図3のような警告ページやダイアログボックスを表示して接続を中断します。ブラウザやエラーの種類によっては、警告を無視して接続することもできますが、このような状態で接続先の正当性や安全性の確認は容易なことではありません。エラーが発生した場合には、無視して先に進んではいけないと肝に銘じておくのが無難です。
以下に、エラーが発生するケースをまとめておきます。
・証明書が信頼できる機関から発行されていない場合
サーバー証明書は、誰でも自由に作成することができます。どこの誰が発行したのか分からない証明書など信用できるはずがないので、ブラウザにはあらかじめ信頼できる証明機関を登録し、サーバーから受け取った証明書が、認識している証明機関から発行されたものかどうかを検証します。信頼できる提供元ではない場合にはエラーが発生します。
勝手に作成した証明書は、フィッシングサイトや怪しいサイトで使われることがあります。この手のサイトでは、「問題ないので無視してください」とか「証明書をインストールしてください」といった指示をしている場合もあるので要注意です。まともに運用されているサイトで、このようなエラーが発生することはないので、真に受けてはいけません。
・コモンネームと実際にアクセスしているURLのサーバー名が異なる場合
証明書に他のサーバーに発行されたものが使われていると、証明書に記載されたコモンネームと実際にアクセスしているURLのサーバー名が異なるため、エラーが発生します。サイトの管理者が証明書を取り違えてインストールしてしまったとか、サーバー名を変えたのに証明書を取得し直していない場合もこれに該当しますが、別サイトの証明書を勝手に使用している怪しいサイトと考えるのが無難です。
例外として「www.exsample.com」で取得したところに、「exsample.com」でアクセスした場合にも、このエラーが発生します。この場合は、登録されてい名前でアクセスし直せば、問題なく接続できるようになります。
・証明書の有効期限が切れている場合
証明書には有効期間が設定されており、現在の日付が、有効期間の前や後だったりすると、有効期限切れのエラーが発生します。この場合、管理者が証明書の更新を忘れているだけなのかもしれませんが、サイトが人手に渡ってしまった可能性もあります。いずれにしても、古くなった証明書にサイトの信ぴょう性を裏付ける効力はありません。単なる更新のし忘れならば、管理者に早急に対処してもらってください。
なお、パソコンの日付が狂っていたために、エラーが発生してしまうこともあります。この場合は、日付を正しく設定し直せば問題なく接続できるようになるので、確認してみてください。
・証明書が失効している場合
証明書が不正に取得されたり、暗号化キーが漏えいしたりした場合、認証機関は該当する証明書を失効させます。失効した証明書に信頼性はないので、失効が確認されるとエラーを発生して接続をブロックします。
グーグルのサーバー証明書が不正に取得され、これを悪用した「中間者攻撃」がイランで発生していたことが、8月末に発覚しました。信頼できる機関のひとつだった発行元のDigiNotar社が不正アクセスを受け、大量の証明書が不正に発行されてしまったのです。不正取得されたとはいえ、証明書自体は本物ですから、そのままではブラウザが正当な証明書だと判定してしまいます。DigiNotar社では、不正取得が確認できたものに関しては個別に失効させていましたが、公表することなく内部処理で済ませており、その結果、未失効の証明書が悪用されるという最悪の事態を招いてしまいました。
この問題を受けて、ベンダー各社は発行元であるDigiNotar社のルート証明書を失効させる措置をとりました。DigiNotar社関連の認証局から発行された全ての証明書が一斉に失効扱いとなり、暗号化接続にエラーが発生するようになりました。
・証明書が改ざんされている場合
証明書が壊れていたり、改ざんされていたりする場合には、エラーが発生します。このような証明書は、信ぴょう性の確認以前の問題なので、信頼することはできません。この種のエラーは、サーバーの故障や意図的に行わない限り、めったに起きません。サーバーに何らかの問題が発生している可能性があるので、よく利用しているサイトなら、管理者に伝えて対処してもらうようにしてください。
図3:証明書の警告
図3-A:Internet Explorer
このような警告ページが表示されたら、「ここをクリックしてこのWebページを閉じる」を選択する。「このサイトの閲覧を続行する(推奨されません)」をクリックすると、赤いアドレスバーの警告付きでページを開くことができるが、安全性は保証されない。まともなサイトは、続行することを勧めるようなことはしないので、勧められたら怪しいと疑おう。
図3-B:Firefox
このような警告ページが表示されたら、「スタートページに戻る」をクリックするかページを閉じる。「危険性を理解した上で接続するには」をクリックすると、接続ルールの例外を追加してページを開くことができるが、安全性は保証されない。まともなサイトは、接続ルールの例外を追加することを勧めるようなことはしないので、勧められたら怪しいと疑おう。
■メールの送受信もSSLで安全に
Webと並んで利用頻度の高いインターネットメールもまた、通信内容をそのまま送受信しているため、常に盗聴や改ざんの危険にさらされています。SSLは、Webサイト専用の暗号化通信というわけではなく、メールなどさまざまなインターネット通信にも利用できるので、SSLを使えばメールの送受信も安心して行えます。Webの閲覧と同様、サーバーとメールソフトの両方が対応していなければ、暗号化通信は利用できませんが、最近の大手プロバイダのメールサーバーとメールソフトの組み合わせなら、たいてい利用できるでしょう。
メールの送受信は、使用しているプロトコル名で呼ばれることがあります。一般に利用されている送信プロトコルはSMTP(エスエムティーピー:Simple Mail Transfer Protocol)、受信プロトコルはPOP(ポップ:Post Office Protocol)といい、メールサービスによってはIMAP(アイマップ:Internet Message Access Protocol)も提供しているかもしれません。それぞれの暗号化版は、SMTP over SSL/POP over SSL/IMAP over SSL(~オーバーエスエスエル)といいます。
Webサイトと違いメールの暗号化通信には、「https://」のようなおまじないはありません。あらかじめメールソフトに暗号化通信の設定を行っておく必要があります。設定方法は、各社のメールサービスやメールソフトによって異なるので、それぞれのマニュアルなどで確認してください。例えば、So-netのメールサービスをご利用の場合には、下記の「会員サービス>メール>暗号化の設定方法」に、詳細がまとめられています。
[参考URL] 会員サービス>メール>暗号化の設定方法(So-net)
http://www.so-net.ne.jp/option/mail/security.html
(執筆:現代フォーラム/鈴木)