ネットのギモン・お悩み

2018.10.16 いま見ているウェブサイト、本当に安全?信頼できるサイトを見分ける6つのルール

インターネットでの個人情報の入力やオンラインバンキングによる送金が当たり前となった今、意識しなければならないのが「そのウェブサイトは安全なのか?」「信頼できるのか?」という点です。アクセスしているウェブサイトの安全性は、どのようにチェックすればよいのでしょうか? 確認すべきポイントと確認方法をご紹介します。

そのサイト、本当に大夫? 増え続けるネット詐欺

ウェブサービス利用時の個人情報やオンライン決済時のカード情報など、インターネットに重要な情報を入力することが当たり前となりました。情報を入力する機会が増えるのにしたがって、実在する企業やサービスを装ったサイトで個人情報をだまし取ろうとする「偽サイト」も増えています。

たとえば、2018年1月には、Googleを騙(かた)るフィッシングサイトが報告されました。ブラウザ上に突如「おめでとうございます! ○○の当選者に選ばれました」などと表示された後に簡単なクイズが出現。回答すると高額な商品が安価に購入できるという主旨のメッセージと共に、個人情報とクレジットカード情報の入力を促されます。

この詐欺サイトの特徴は、とても手が込んでいたという点。「冗談だと思ったけど、本当に届いた」といった偽ユーザーのコメントや、焦らせようとプレゼントの受け取り期限を示すカウントダウン表示まで設けられていました。

詐欺サイトは年々手口が巧妙化してきており、パッと見ただけでは詐欺サイトであると判断できないようなサイトも増えています。個人情報やクレジットカード情報などを入力する際は、そのサイトが本当に安全なのか、私たち利用者側にもきちんと判断できるかが求められるのです。

サイトが安全かどうか見分けるには、なにをチェックすればいい?

まずは、アドレス欄をチェック!

サイトが安全かどうか見分けるには、なにをチェックすればいい?
インターネットネコ

【ルール1】チェックすべきは鍵のマーク

どのサイトでも、開くとアドレスバーにページのURLが表示されます。まずはそこに「鍵のマーク」が付いているかを確認しましょう。

鍵のマークは「SSLサーバー証明書」が導入されている証。SSLサーバー証明書とは、信頼できる第三者機関(認証局)が発行する電子証明書で、アクセスしているサイトが「認証局によって認められた正当なサイトである」ということを証明するものです。

鍵マークをクリックすると、そのサイトが所有するSSLサーバー証明書の内容を見ることができ、サイトのドメイン名や所有者、認証局などが確認できます。

【ルール2】アドレスが「https」で始まることを確認

鍵マークと同時に、ブラウザのアドレス欄が「https」で始まることを確認してください。httpsの“s”が表す意味は「secure(安全な)」。httpsのサイトではブラウザとサーバー間の通信を暗号化し、情報を安全に送受信するための「SSL/TSL」という仕組みが使用されています。

このSSL/TSLにより、個人情報やクレジットカード情報、ログインに必要なID・パスワードといった重要な情報を悪意のある第三者から守り、盗聴や情報の改ざんなどを防ぎます。万が一、情報が見られてしまっても、暗号化されていれば中身を解読することは困難です。

【ルール2】アドレスが「https」で始まることを確認

一方「http」のページの場合はSSL/TSLが使用されていない、「保護されていない通信」を示します。httpのページからの重要な情報の送信にはリスクが伴うことを把握しておきましょう。

【ルール3】同じサイト内で、SSL化されているページを判別する

同じサイト内であっても、httpのページとhttpsのページが混在しているケースがあります。そのような場合、重要な情報を入力するページのみでhttpsを使用していることが多いです。例えば、オンラインショップなら商品紹介ページはhttpで、カートページ以降はhttpsで、というように分けられています。

「有名企業のサイトなのに鍵のマークがついてない!」という場合は、ID・パスワードの入力画面や個人情報の入力ページなどが「https」になっていることを確認してから、情報の入力や購入手続きなどを行うようにしましょう。

なお、現在ではセキュリティの強化を目指し、サイト内の全ページでhttpsを使用する「常時SSL」化が促されています。

Google Chromeではhttpのページには、アドレスバーに「保護されていない通信」と表示されるようになりました。

【ルール3】同じサイト内で、SSL化されているページを判別する

この表示が出たから必ずしも危険なサイトであるというわけではありませんが「httpは保護されていない」という理解をユーザーに促すのがGoogleの狙いのようです。セキュリティに対する知識を持つことは、社会的にも重要視されていると言えます。

参考:Google ウェブマスター向け公式ブログ

【ルール4】鍵以外のマークが出ているときは、重要なデータの送信は行わない

アドレスバーに表示されるアイコンは、サイトの安全性を知るための目安です。鍵以外のマークが出ているときは要注意! 第三者からの不正アクセスや情報の書き換えなどの可能性があるため、原則として重要なデータの入力は行わないようにしましょう。表示されるマークの意味について、Google ChromeとFirefoxの例でご紹介します。

<Google Chrome>

・○のなかに「i」が表示
「情報、または保護されていない通信」を示します。重要なデータを送受信すると第三者に傍受されたり、書き換えられてしまったりする可能性があります。

・△のなかに「!」が表示 
「保護されていない通信、または危険」を表します。Chromeではサイト自体の利用を控えることを勧めています。

参考:Google Chromeヘルプ

<Firefox>

・鍵マークと一緒に△のなかに「!」が表示
ブラウザとサイト間の接続が「部分的にしか暗号化されていない」ことを示します。また、 SSLサーバー証明書の信頼性が低い場合にも同様のマークが表示されます。

・鍵マークの上に赤い斜線が表示
こちらも「部分的にしか暗号化されていない」ことを示しますが、攻撃に対して「安全であると考えてはいけない」と、より強いメッセージが込められています。

参考:Firefoxサポート

鍵マークが付いた「詐欺サイト」も…

【ルール5】サーバー証明書の“内容”をチェックする

残念ながら「鍵マークとhttpsが確認できたから安心!」とは言い切れません。最近では証明書を取得した鍵マーク付きの詐欺サイトも急増しています。鍵マークに加え、少しでも怪しいと感じたら、SSLサーバー証明書の“内容”もチェックすることが大切です。

SSLサーバー証明書には、「ドメイン認証(DV)」「企業認証(OV)」「EV認証」の3つの認証レベルがあります。どの証明書を使用しているのかが、サイトの信頼性を判断する材料になるのです。

ドメイン認証(DV)企業認証(OV)EV認証
認証レベル・信頼性
認証局の確認項目ドメインの所有
  • ドメインの所有
  • 企業(運営組織)が実在すること
  • ドメインの所有
  • より厳格な企業の実在確認
個人事業者の取得可否可能一部可不可

個人でも取得できるドメイン認証と異なり、認証局によって「企業が実在している」ということが証明されている企業認証・EV認証のほうが信頼性は高く、サイトの安全性も高いと言えます。

EV認証は企業の実在確認がより厳格に行われるため、信頼性も非常に高いです。ユーザーに安心感を与えるため、大手を中心に導入する企業も増えてきています。

EV認証は、ブラウザのアドレスバーの左側に「緑色の文字で運営者名が表示される」「アドレスバーが緑色になる」など、視覚的に判断しやすくなっています。

こちらはGoogle ChromeでPreBellを表示した場合です。左側に緑の文字で表示されているのが運営者(企業名)です。Sony Network Communications Inc.(ソニーネットワークコミュニケーションズ株式会社)が運営しているということがわかります。

【ルール5】サーバー証明書の“内容”をチェックする

Internet Explorerの場合はアドレスバーが緑色になります。

【ルール5】サーバー証明書の“内容”をチェックする

EV認証と異なり、ドメイン認証と企業認証の場合は視覚的にはわかりません。SSLサーバー証明書に「運営者の記載があるか」で、どちらの認証を利用しているのか判断します。SSLサーバー証明書の内容を表示して確認してみましょう。ここではInternet Explorerを例にご紹介します。

【参考】証明書の内容を表示する方法とチェック項目

(1)ブラウザのアドレスバーに表示されている鍵マークをクリック。Internet Explorerの場合は鍵マークがアドレスバーの右側にあります。

(2)「証明書の表示」をクリック

【参考】証明書の内容を表示する方法とチェック項目

(2)「証明書の表示」をクリック

【参考】証明書の内容を表示する方法とチェック項目

(3)証明書を開いたら「詳細」タブをクリックし、「サブジェクト」欄を選択します。

【参考】証明書の内容を表示する方法とチェック項目

SSLサーバー証明書に記載される項目は、認証局によって「事前に確認がとれている項目」のみです。下枠の項目にある「O =」は、サイトの運営者(会社名や団体名など)を示します。「O =」という行があり、かつ企業名が書かれていれば、企業の実在確認がとれていると判断できます。

また、「CN =」はSSLサーバー証明書の「コモンネーム」を指し、暗号化通信を行うウェブサイトのドメイン名が記載されています。ドメイン名とは、「prebell.so-net.ne.jp」など、https://のあとに続くURLのことを指します。「CN =」に表示されるドメインと、接続しようとしているサイトのドメインが一致していることもあわせて確認しておくとよいでしょう。

【参考】証明書の内容を表示する方法とチェック項目

ドメイン認証の場合は「O=」欄がなく、「CN =」のみが表示されます。ドメイン認証の場合は運営者の実在確認が取れておらず、企業が実在しているかどうかは、証明書だけでは判断できません。

「実在するから100%大丈夫」とは言い切れませんが、詐欺サイトの運営者は捕まらないよう身を隠そうとする場合が多く、実在が確認できないケースがよくみられます。サイトの内容も踏まえた上で「怪しい」と判断した場合は、サイトの利用をやめた方が賢明です。

【ルール6】警告メッセージが出たらアクセスしない

もう一点、注意したいのが「SSLサーバー証明書は誰でも作成することができる」という点です。本来であれば「信頼できる認証局」から発行されるべき証明書を、自分で勝手に発行し、httpsでの通信を行うといった詐欺業者もいます。

ブラウザにはあらかじめ「信頼できる認証局」の情報が登録されていて、こういった信頼性の低い証明書を使用している場合、ブラウザが警告メッセージを表示してくれます。

「このウェブサイトのセキュリティ証明書には問題があります」「この接続ではプライバシーが保護されません」といったメッセージが表示された場合、そのサイトへのアクセスは控えましょう。

たとえば、Internet Explorerなら、次のような表示が出ます。

【ルール6】警告メッセージが出たらアクセスしない

ほかにも、警告が出る理由はSSLサーバー証明書の有効期限切れ(証明書には期限があり、定期的な更新が必要です)や、証明書が失効している場合、証明書に記載されているドメイン名とサイトのドメイン名が一致しない場合など、さまざまです。警告が出たら軽く考えず、リスクを回避するよう心がけましょう。

セキュリティ意識を持って、ネットライフをもっと楽しもう

大切なのは、きちんとセキュリティ意識を持つことです。個人情報やパスワードなどを入力するときは、まず今回の内容を思い出して慎重に行ってください。ウェブサイトを利用する限り、常に詐欺などのリスクはつきまとうものです。インターネットとの上手な付き合い方を知り、より快適にネットライフを楽しみましょう。

TEXT:PreBell編集部
PHOTO:くまみね(マンガ)、Getty Images

この記事を気にいったらいいね!しよう

PreBellの最新の話題をお届けします。

ページトップ