HOME >> 情報セキュリティ >> 脆弱性対策 >> 知っていますか?脆弱性 (ぜいじゃくせい) >> 8. HTTPS の不適切な利用

8. HTTPS の不適切な利用

2007年7月12日 掲載

イントロダクション

G社は化粧品の販売会社です。
ウェブサイトで商品の販売のほか、顧客からの問合わせの受付などを行っていました。

ウェブサイトのイメージ

P氏
「ウェブサイトからアクセスも増えて、お客様からの問合わせも多くなってきたな。」
「わが社の製品・サービスに興味をもって問合わせいただくことはうれしいことだ。」
「HTTPSを使って暗号通信をしているから、お客様も安心して利用してくれているのだろう。」

“HTTPS”=Hyper Text Transfer Protocol Secure

P氏 ウェブサーバの電子証明書を取得するにはお金もかかったが、やはり、お客様に安心していただき、信頼されることが大切だな。

1年後 ─

警告画面のイメージ

A子さん
「ここの会社の化粧品って、なかなか評判いいのよね〜。」
「特にここの美容液の評判がすごいんだけど、品切れが続いていて、なかなか買えないわ。」
「次の入荷は、ここから問合わせればいいのね。」
「問合わせ内容も暗号化されて送られるから安心よね。」

警告画面のイメージ

A子さん 「何これ?この画面今まで出なかったのに、このウェブサイトには問題があるのかしら?」


HTTPS の不適切な利用とは?

博士
「おやおや、証明書を取得するまではよかったのじゃが、証明書には期限があることを忘れてしまっていたようじゃな。」
「HTTPSとは、ブラウザとウェブサイト間で情報を取り交わすための通信手順(プロトコル)であるHTTPをより安全に行うために、通信内容の暗号化と通信相手の正当性の確認をできるようにした通信手順(プロトコル)のことじゃ。」
「ウェブサイトの正当性は、信頼された第三者機関によって保証されていて、信頼された第三者機関から発行された証明書をウェブサイトがユーザに提示するんじゃ。」
「証明書に問題がないかのチェックは、ブラウザが自動で行い、問題があれば、ユーザに警告を表示するようになっているのじゃ。」
「証明書の期限が切れていたり、証明書が信頼された第三者機関から発行されたものでなかったりすると、ブラウザが、証明書に問題がある旨の警告を発するのじゃ。」

HTTPS の不適切な利用の具体的な問題について

博士
「偽造された証明書が使われているフィッシングサイトにアクセスして警告が出た時、そのユーザが「信用できない」とアクセスを止めてくれれば良いのじゃが、警告を無視して進んでしまうこともあるじゃろう。」
「結果として、証明書の期限切れなどのウェブサイトの不適切な運用が、フィッシング詐欺を助長してしまうことにもつながるため、ウェブサイトとしての信頼を損なうことになってしまう問題なんじゃ。」

博士 「対策は、IPAのウェブサイトの脆弱性ごとの対策ページを参照するのじゃ。」