ここがヘンだよ、セキュリティの常識：「HTTPSで暗号化されているから安全！」とまだ信じているあなたへ

え？　常時SSL化されているサイトなら安心じゃないの？

　かつてこの世は、闇によって支配されていました。人々は常に、IDやパスワードを掠め取る悪の化身「フィッシング」の恐怖におびえながら暮らしていたのです。そんな世界にさっそうと現れたのが、額に鍵マークを宿した正義の戦士「エッチ・テーテーピー・エス（HTTPS）」でした。敢然と悪と戦うエッチ・テーテーピー・エスは、徐々に闇を駆逐して世界に光を取り戻し、やがてこの世は再び平和を取り戻したとさ。めでたしめでたし。

　しかしエッチテーテーピーエスって、名前が長ったらしいね。何とか短く略せないのかね、「ハットゥプゥスッ！」みたいな感じに……逆に読みにくいか。

　ともあれ、かつてはこんな“夢物語”が現実に信じられていた時代もありました。この世のサイトが全て常時SSL化されれば、フィッシングをはじめ、さまざまなセキュリティ問題が解決するのではないかと。

　そしてそれは、やはり夢と終わりました。そう、夢は覚めてしまったのです。民よ、目を覚ますのだ……

「常時SSL化されているサイトも、もはや100％安全とはいえません！」

　……あえてこう言い切ってみましたが、ちょっと誤解を招きそうなので、詳しく説明してみたいと思います。

　常時SSL化されたサイトは、IDやパスワード、クレジットカード番号といった個人情報はもちろん、サイトとやりとりする全ての情報を暗号化するので、基本的に通信内容を盗聴される心配がありません。そういう意味では安全なんです、確かに。

　ただし、こいつを逆手にとった攻撃が、最近増えてきてるんですね。どういうことかというと、マルウェアをHTTPS通信の中に紛れ込ませてユーザーの端末に送り込もうというわけ。「常時SSL化された正規サイトに不正コードを埋め込んで、ドライブバイダウンロードを仕掛ける」のなんて、典型的な例ですね。あるいは、マルウェアが盗んだ情報を外部に送り出す際に、やはりSSL通信を使って暗号化しちゃうと。この場合は、C＆CサーバとあなたのPCとの通信をHTTPS化してるわけですな。

　当然、通信内容はSSLで暗号化されてるので、外部から不正を検知しようとしても普通のやり方では無理。あえてやろうと思えば、いったんSSLで暗号化された通信データを復号して、中身を読み取って、さらにもう1回SSL暗号化して送り出すという、“めっちゃ手間ひまかかる処理”をやらなくちゃいけなくて、実用的なスピードでこれをやるにはかなりお高いセキュリティ機器を使わないと今のところ厳しいのが現実。

　さらに言うと、かつてはフィッシング詐欺から身を守るために、合言葉のように「HTTPSじゃないURLはクリックしちゃダメ！」なんて言われてたけど、もういまやフィッシングサイトの多くは当たり前のようにHTTPS化されちゃってたりして、もう何を信じればいいのやら……。

　現時点でできることとしては、まずは「HTTPSだから安全」という古い常識をいったん捨てて、たとえ常時SSL化されたサイトでも危険性が潜んでることを自覚しながら利用するとこからでしょうかね。

　とにかく、セキュリティの世界はいたちごっこ。ある時点での常識が、あっという間に非常識に転じる世界ですから、自衛のためには常に最新の情報をチェックして、自身の中の常識をアップデートしていくしかなさそうですね。