Smart Lab Life

〜あなたの研究生活をちょっとハッピーに〜

第8回 WEBページ開いたら「保護されていない」って出てきたけど,大丈夫?… 〜ウェブブラウザ「Chrome」最新版ご利用の際の注意点

CASE

保護されていないって表示された…

大丈夫かな…

大丈夫かな…

2018年7月24日に,Google社のウェブブラウザ「Chrome」がバージョンアップしました.

実はこのアップデートは全世界で注目を集めたものでした.というのも,以下のような大きな仕様変更が予告されていたからです.

A milestone for Chrome security: Marking HTTP as "not secure"

「http://」で始まるURLは,以前は当たり前のように利用されていましたが,「Not secure(保護されていない通信)」と警告を表示するようになったわけです.

それに対して現状では「https://」と「s」が追加されたURLを使うことを推奨されています.

この「http://」や「https://」はサーバとの通信方法を指定しています.表示上はたった1文字の違いですが,実はとても大きな違いがあります.

POINT
http:// 通信内容はそのまま送信される
https:// 通信内容は暗号化されてから送信される

実は「http://」を利用してページを表示すると,その通信経路上で通信内容を盗み見されてしまう可能性があります.

それに対して「https://」でアクセスした場合は,その通信経路上のデータは暗号化されているため,通信内容を盗み見されてもその中身まではわかりません.

「https://」は,もともとはショッピングサイトなどの個人情報の入力が必要なところ,特に情報流出に気をつけるウェブサイトで「利用されていたように思いますが,今では次の理由からほぼ全てのウェブサイトで「https://」が求められるようになってきました.

  1. ノートパソコンやスマートフォンの普及によって,wifiも急速に広まったこと
  2. ウェブページを見るだけではなく,SNS等,個人情報を利用し,ウェブに情報をアップロードする機会が増えたこと
  3. ウェブサイトをなりすました詐欺サイトが増えてきたこと

特に重要視されているのが1です.

上述の通り「http://」の通信は通信経路上でその内容を盗み見できてしまうわけですが,wifi接続の場合はその“通信経路”を考えると実際の電波が届いている場所がその対象であり,有線接続と比較するとかなり盗み見るハードルが低くなります.最近はセキュリティ意識が高くなっていることもあり,wifiの通信を暗号化するのが当たり前になっていますが,実はその暗号化には現在穴(脆弱性)が存在します.現在一番利用されている暗号化規格「WPA2」というものも暗号化を無効化するツールがすでに出回っており,絶対安全とはいえない状態になっています.

このように安全とはいえないwifiでも,「https://」を利用して接続すれば,その通信内容は暗号化されているため,一応の安全性は確保できるわけです.

このような理由から「https://」を常時利用することが推奨され,さらにChromeの最新版では「http://」に警告メッセージを表示するようになったようです.

Google社は,そのポリシーを検索結果にも反映させ,「https://」で接続可能なページを優先して表示するようにもなっています.

しかし,現状では多くの官公庁などのページが「https://」に対応していません.また,組織や家庭内で利用する前提の機器類も対応していないケースが多いですし,「保護されていない通信(Not secure)」と表示された場合でも,以下のように注意してご利用いただいくと良いと思います.

SOLUTION
  • 有線でネットワークに接続された端末でLAN(組織内/家庭内のネットワーク)内のページにアクセスしている場合は,問題になりにくいです
    • ネットワーク機器を「http://」でアクセスしてインターネットブラウザで設定変更できるものが最近多いです
    • 自分の端末だけでなく,接続先の端末がwifi接続されている場合は注意が必要です
  • ただ閲覧するだけのページも問題になりにくいです
    • 現状,多くの官公庁などのページが「http://」で提供されています
    • 見ている情報は盗み見されてしまう可能性がありますが,ただ公開情報を参照している場合にはあまりリスクになりません
    • 「https://」のページと比較して偽装などの心配もあり,注意して利用する必要はあります
  • 上記以外のページ,特に何らかの情報を入力するページは利用を避ける方が望ましいです

「http://」非推奨の流れは急速に広まってきていますが,まだ対応されていないページも多いです.

現状では「保護されていない通信(Not secure)」と表示されたとしても“危険”というわけではなく,“安全ではない”と考えて,アクセス先や目的などを考えて注意して利用するくらいに考えておけば良いと思います.

なお「http://」のページも「https://」に入力し直せばよいかというとそのようなことはなく,「https://」でアクセスできるようにするためにはサーバ側で特別な準備をしておく必要があります.そのために「なりすまし」を防ぐこともできるのですが,多少複雑な話になりますので,その仕組などはまた別の機会にまとめたいと思います.

TIPs〜ちょっと役立つコンピュータ豆知識 目次

オススメコンテンツのご紹介