ITmedia NEWS > セキュリティ >
ニュース
» 2019年03月01日 07時00分 公開

ITりてらしぃのすゝめ:その通信は安全ですか? 本当は怖い「SSLサーバ証明書」の話 (1/3)

「接続はプライベートではありません」――Webブラウザ上でこんなメッセージを見たことはありませんか? 今回は「SSLサーバ証明書エラー」の危険性について解説します。

[宮田健,ITmedia]

 先日ネットサーフィンをしていたら、「接続はプライベートではありません」というエラーが出てしまいました。皆さんももしかしたら、これに似たエラーを見たことがあるかもしれません。

SSL iOSのSafariで出たエラー(筆者撮影)

 さて、皆さんはこのエラーをどのように受け入れていますか? よく読むとこのエラー、少々恐ろしめのことが書かれています。いわく「このWebサイトは、あなたの個人情報または金融情報を盗むために、(ドメイン名)になりすましている可能性があります」と。これは何らかの理由で、「SSL/TLS サーバ証明書」(以下、SSLサーバ証明書と表記します)がうまく読み取れない場合や、そもそも文字通り「なりすましている可能性」がある場合に出てくるエラーです。実はこれ、スルーすべきではないエラーです。

連載:ITりてらしぃのすゝめ

「身近な話題を例にITリテラシーを高めていこう」がコンセプト。さらっと読めて人に話せる、すぐに身につく。分かりやすさ重視で解説。小ネタも扱います。

(編集:ITmedia村上)

本当は怖い「証明書エラー」

 そもそもこのSSLサーバ証明書は何に使われるものなのでしょうか。最近では多くのWebサーバが「HTTPS」での通信に対応し、皆さんのWebブラウザと通信相手であるWebサーバとの間の通信が「暗号化」されるようになりました(ITmediaもついにhttps化しました)。WebブラウザのURLバーに「錠のマークが表示されていれば安全」と理解している方も多いでしょう。

 しかし、これだけで100%安全という理解は間違っています。錠マークは正確には「自分と相手サーバとの通信が暗号化されている」ことだけを表しています。錠マークが指し示すURL(Webサーバ)との暗号化通信が実現されているというだけで、その相手があなたの意図したサーバであるかどうかは不明です。

 より具体的にいうと「相手がサイバー犯罪者の用意したWebサーバ」であったとしても、正しくSSLサーバ証明書が設定されていた場合、錠のマークが表示されます。そのため、クレジットカード番号を入力する場合は、“錠のマークがあるから安心”だけでは足りないということです。とはいえ、そのURL文字列だけで正当性を判断するのも難しいことではあります。

 ましてや「SSLサーバ証明書エラー」が発生している場合は、最大限警戒して対処すべきです。考えられるトラブルとしては、本当にフィッシング(詐欺)であるパターンだけでなく、通信状況によりうまくHTTPS通信が行えない場合(カフェなどの無料Wi-Fiでログインする前などにありがちです)や、そもそもWebブラウザが古い場合などが考えられます。

 普段はうまくつながっていたにもかかわらず、突然SSLサーバ証明書のエラーが表示されている場合、まずは同じURLをスマートフォンの携帯通信回線で接続してみてエラーが出るかどうか、他のPCや別のWebブラウザでも同様のエラーが出るかどうかを確認してみてください。

 ほとんどの場合は回線かデバイスかブラウザを変えればうまくいくはずですが、それでもダメな場合は相手側に問題があるかもしれません。念のため、Webブラウザが最新になっているかどうかも確認してみてください。

「ルート証明書」がやられると……

 もう一つSSLサーバ証明書関連で気を付けたいのは「ルート証明書」です。その前に、このSSLサーバ証明書がどのような考え方に基づくものかを簡単に説明します。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.