お知らせ: 情報セキュリティ研究センターは、2012年4月1日にセキュアシステム研究部門 (2015-03-31 終了) に改組されました。
2015年4月1日現在、一部の研究は情報技術研究部門に継承されています。

安全なWebサイト利用の鉄則

産総研 > RCIS > 安全なWebサイト利用の鉄則 > よくある質問と答え

よくある質問と答え

Q1: アドレスの確認を入力の直前にするのはなぜですか?(利用者)

リンクを辿ってページを移動している間に、どこのサイトにいるかが怪しくなる場合があります。特に、SSLによる通信の暗号化が必要な場面ではこのことは重要です。たとえば、利用するサービスのトップページでアドレスを確認し、本物サイトであることを確認したとしましょう。そこからリンクを辿ってログイン画面に辿り着いたとします。そのページは本物サイトでしょうか? そうとは限りません。なぜなら、リンクを辿っている途中のページに https:// ではない http:// のページが1つでもあったなら、そのページが通信路上で改竄されていた可能性を否定できません。いつのまにか違うサイトへジャンプさせられている可能性があります。

ページを移動するたびに見ている画面が https:// であることを確認するというのは、利用者にとって煩雑すぎる作業です。入力欄のあるページで利用者が重要な情報を入力をしようとしたそのときに、アドレスのドメイン名を確認し、https:// であることを確認するという手順が、シンプルかつ合理的です。

Q2: 入力ページを https:// にしなければならないのはなぜですか?(サイト運営者)

個人情報等をSSLで暗号化していると謳っているWebサイトで、重要な情報の入力欄が http:// のページになっていることがあります。そのとき、サイト運営者が、「入力したデータの送信先は https:// になっているから暗号化されます」と主張することがありますが、それは誤りです。

入力欄のページが http:// であるなら、そのページは通信路上で改竄されている可能性を否定できません。サーバ側のHTMLファイルが https:// へ入力データを送信するよう書かれていても、利用者のブラウザに到着したHTMLでは http:// へ送信するよう改竄されている可能性があります。利用者がそのことに気づかずに情報を入力してしまうと、暗号化されずに送信され、盗聴されてしまいます。

SSLは盗聴を防ぐだけでなく改竄も防止する技術です。入力欄を https:// ページとしておき、利用者が入力の直前にそのことを確認することによって、SSLは有効に働きます。

Q3: アドレスバーは偽装されるから見てはいけないという噂を耳にしましたが?(利用者)

たしかに、2004年ごろに流行したフィッシングの手口では、アドレスバーの上に枠のないウィンドウを乗せる手法により、偽サイト上でアドレスバーに本物サイトのアドレスを表示していました。しかし、これは、Windows XP SP1 (Service Pack 1) の Internet Explorer 6 (SP1) を使用した場合に可能なことで、その後にリリースされた Windows XP SP2 や、Internet Explorer 6 (SP2) では、そのような偽装ができないよう対策されています。

Internet Explorerに限らず、アドレスバーを偽装できるようなブラウザは、ブラウザに脆弱性(セキュリティ上の欠陥)があると言えます。現在では、そのような脆弱性が発覚すると修正されるのが業界の流れとなっていますので、利用者の心得としては、アドレスバーを確認するのを鉄則としておくべきです。

Windows 98 や Windows Me等の古いOSではこの脆弱性は修正されていません。しかし、これらのサポート期限の切れた古いOSは、他の脆弱性も修正されていませんので、いずれにしてもインターネットを安全に利用することができません。

Q4: 再度訪れたサイトの場合にサーバ証明書の確認が不要なのはなぜですか?(利用者)

利用者が本物サイトのドメイン名を記憶している場合は、アドレスバーでURLのドメイン名を確認し、かつ、URLが https:// で始まることを確認すれば十分だからです。

しばしば、「すべてのページでサーバ証明書を確認しなければならない」などと主張し、利用者の心得ではフィッシングを防げないかのように不安を煽る主張が見られますが、それは誤りです。サーバ証明書のCN欄に書かれたホスト名とアクセス中のページのホスト名が一致していることは、ブラウザが自動的に判別しているので、利用者が目視で確認することではありません。

Q5: この鉄則が守られていれば必ず安全なのですか?

残念ながらそうではありません。たとえば次の場合には安全ではなくなります。

  • 利用者が使用しているWebブラウザに脆弱性がある場合
  • 本物サイトに脆弱性がある場合
  • 本物サイトのサーバが侵入され、コンテンツを改竄されている場合
  • 利用者のパソコンがコンピュータウイルス(一部のスパイウェアを含む)に感染している場合

ブラウザベンダーは脆弱性を修正するべきです。サイト運営者はサイトから脆弱性を排除するよう努力し、侵入されない管理体制を築くべきです。利用者は、脆弱性の修正されたブラウザを使用し、ウイルスに感染しないよう注意するべきです。そうしなければ、インターネットを安全に使うことはできません。この鉄則は、それらが守られているという前提の上での考え方を示したものです。

Q6: ワンタイムパスワードを使えば利用者はこの鉄則を知らなくてよいのでは? (サイト運営者)

ワンタイムパスワードだけではフィッシングを防ぐことはできません。なぜなら、偽サイトが本物サイトに通信を中継する中間者攻撃 (man-in-the-middle attack) に対して脆弱だからです。2006年7月にはワンタイムパスワードを採用していた米国の大手銀行で中間者攻撃によるフィッシングの被害が発生しています。