崩壊する「HTTPS神話」、鍵マークはもはや信頼の証しではない

　個人情報を入力するWebサイトでは、Webブラウザーに鍵マーク（錠マーク）が表示されているのを確認する――。セキュリティーのセオリーとして、筆者が何度も記事に書いたフレーズだ。

　だが、「鍵マークが表示されていれば安全」というHTTPSの神話は崩壊した。常識が変わったのだ。

　米国の政府組織であるインターネット犯罪苦情センター（IC3）は2019年6月、「Webブラウザーのアドレスバーに、鍵のアイコンあるいは『https』という表示があるという理由だけでWebサイトを信頼しないでください」と注意を呼びかけた。

インターネット犯罪苦情センターよる注意喚起

（出所：インターネット犯罪苦情センター、https://www.ic3.gov/media/2019/190610.aspx）

[画像のクリックで拡大表示]

　もはや鍵マークは信頼の証しではない。鍵マークは表示されて当たり前。鍵マークが表示されたからといって、そのWebサイトが安全とは限らないのだ。

HTTPS対応フィッシングサイトが当たり前に

　WebサイトがHTTPS（TLS）に対応していると、Webブラウザーには鍵マークが表示され、URLは「https」から始まる。

　HTTPSに対応したWebサイトはサーバー証明書をWebブラウザーに送信し、WebサイトとWebブラウザー間の通信は暗号化される。通信の盗聴は防げるが、これだけではそのWebサイトが信用できることにはならない。