URLバーの緑色の南京錠アイコンは、もはや信頼できるシンボルではありません
何年もの間、アドレスバーに緑色の南京錠のないウェブサイトに個人情報を入力しないように言われ続けてきました。このアドバイスに耳を傾けた人もいれば、そうではなかった人もいますが、この緑の南京錠が何を表し、どのように機能するのか疑問に思ったことはありませんか?
Google Chrome などのブラウザは徐々に廃止されています (その理由はすぐに明らかになります)が、緑色の南京錠は、表示しているWebサイトにSSL証明書があり、HTTPSで読み込まれていることを示す兆候としてまだ広く認識されています。これは、順番に、ウェブサイトに出入りするすべての情報が暗号化され 、 中間者攻撃から安全であることを意味します。
当時、専門家は、HTTPSを介してロードされなかったWebサイトにデータを入力しないよう警告する別の理由がありました。 SSL証明書は、以前は年間数百ドルを請求していた認証局(CA)によって発行されます。予想通り、詐欺師はフィッシングページを本物のように見せるためにこの種のお金を払う用意ができていなかったので、たとえあったとしても、当時行われた手動チェックのいくつかに合格しなかったでしょう。つまり、実際のAmazonログインフォームには緑色のロックがあり、偽のロックフォームにはありませんでした。残念ながら、これはもはや事実ではありません。
Table of Contents
無料のSSL証明書の出現とそれらがインターネットに与えた影響
残念ながら、HTTPSを介してWebサイトをルーティングできなかったのは詐欺師だけではありませんでした。 SSL証明書は、多くの正当なWebサイトの所有者にとっても高すぎたため、かなりの数のオンラインショップが顧客のデータを公開していました。何かする必要がありました。
2014年、Let's Encryptという名前の新しいCAが設立され、SSL証明書の提供が完全に無料になりました。インターネットはこのアイデアを気に入りました。
Let's Encryptは、2016年4月にベータ版を正式に終了しました。ベータ版は、発行した証明書の数が約170万に達したと誇らしげに発表しました。わずか14か月後、 1億を超える Let's Encrypt証明書がありました。
無料のSSL証明書が他のCAからも提供されるようになりました。そのため、例外ではなくHTTPSが標準になりつつあります。 8月、セキュリティのスペシャリストであるScott Helmeは、Alexaのトップ100万のWebサイトの半分以上が初めてHTTPSでロードされたと述べました。この移行により、ブラウザベンダーは、ページがHTTPSでロードされていない場合に緑色のロックアイコンを捨て、大きな「非セキュア」記号に置き換えるように促されました。実際、南京錠は以前ほど便利ではありません。
すべてのフィッシングページのほぼ50%がHTTPS経由でロードされるようになりました
無料のSSL証明書の出現は、最近世界で起こった良いことの1つです。それらは万能薬ではありませんが、小規模なオンラインベンダーが生き残るだけでなく繁栄することを可能にしており、現在のところ、最も基本的なHTML WebサイトでさえHTTPで実行する言い訳はありません。
残念なことに、SSL証明書が無料で正当なWebサイト所有者に簡単にセットアップできる場合、詐欺師にも無料で簡単にセットアップできます。実際、脅威インテリジェンスおよび緩和企業であるPhishLabsは、今年の第3四半期に検出されたすべてのフィッシングページのほぼ半分(約49%)がHTTPSでロードされたとブライアンクレブスに語りました。これは、PhishLabsがTwitterで述べたところによると 、第2四半期の35%と第1四半期の33%から上昇しています。
詐欺師は詐欺ページにSSL証明書を積極的に設定しています。これは、簡単で費用がかからず、ブラウザベンダーが実装している変更のためです。彼らは、ユーザーが目に見える「非セキュア」警告の下でロードされるウェブサイトに個人情報を漏らす可能性がはるかに低いことを認識しています。
それについて何ができますか?
これは、ブラウザベンダーが緑の南京錠から離れるという決定が大きな間違いであることを意味しますか?いいえ、そうではありません。問題の単純な事実は、ロックアイコンが以前ほど便利にならないことです。詐欺師が必要だと判断した場合、無料のSSL証明書を取得するだけなので、それが残っていても、現在の状況に影響を与えることはありません。
それでは、無料のSSL証明書を削除すべきではありませんか?いいえ、すべきではありません。ベンダーが顧客のデータを無料で保護するオプションを拒否することは、大きな後退であり、数百万人の個人情報を深刻な脅威にさらします。代わりに行う必要があるのは、可能な限り多くのユーザーにHTTPSとは何かを教えることです。
HTTPSは信頼性の指標ではありません。存在しない場合は、表示しているWebサイトが信頼されるべきではないと確信できますが、存在する場合でも、詐欺を見ている可能性があります。他にも注意が必要な要素があります。