ICHIRO BLOG引っ越しました

日経新聞にて、セキュリティクラスタの頭に一斉に疑問符がつく記事が掲載されており、話題になっておりました。

崩壊する「HTTPS神話」、鍵マークはもはや信頼の証しではない（日経 xTECH 勝村幸博 19/7/17）

個人情報を入力するWebサイトでは、Webブラウザーに鍵マーク（錠マーク）が表示されているのを確認する――。セキュリティーのセオリーとして、筆者が何度も記事に書いたフレーズだ。

だが、「鍵マークが表示されていれば安全」というHTTPSの神話は崩壊した。常識が変わったのだ。日経 xTECH

記事の冒頭を読んだ時点では、なんとHTTPS対応サイトの通信の暗号化が破られてしまったのか、これはネット界激震の大変な事態になったのではないかと身構える内容です。しかし、記事を読み進めるとそういう話でないことが分かります。

もはや鍵マークは信頼の証しではない。鍵マークは表示されて当たり前。鍵マークが表示されたからといって、そのWebサイトが安全とは限らないのだ。日経 xTECH

HTTPSに神話があったのも驚きですが、通信の暗号化に対応しているサイトであれば従来はすべて安全で信頼できるサイトであったような認識の元に書かれているのには相当びっくりしてしまいます。

執筆者の勝村幸博さんが書かれた他の記事を見てみると、決して間違いではない内容どころか良質な技術論評記事もあるので、これはわざと書いているのか、間違えて筆が滑ったのか、なぜこうなってしまったのかが凄く気になります。

そもそもウェブサイトにおいて通信の暗号化が推奨されるのは、単純に通信経路において第三者に情報が抜き取られても通信そのものが暗号化されているので内容を知られることができないという点であり、これによって個人情報が盗まれたり個人の思想信条などによってデータが流通したりしなかったりするような状況に陥って勝手に検閲されないようにしている、ということであります。

したがって通信の暗号化をもってしても、アクセス先のウェブサイトそのものが悪意をもってユーザーの情報などを盗み取ろうとしている場合には、HTTPSだろうがID/パスワードでロックされたサイトであろうが、そうした行為を防ぎようがないのは今も昔も変わりません。

おそらく日経 xTECHの記事筆者は、昨今増加しているフィッシングサイトなどがHTTPS対応している状況について読者へ注意喚起を促したいという意図であったことは想像できるのですが、さすがに間違った認識に基づいて妙に煽るような記事に仕立て上げると、セキュリティ方面に詳しいネット民などから総スカンを食らうわけでして、さすがにこれはかなり格好悪いんじゃないですかねと他人事ながら心配してしまいます。

最近はウェブブラウザでHTTPS化してないサイトに接続すると「保護されていない通信」や「安全ではありません」などといった警告がいちいち表示されるようになったので、そういう警告が出ないサイトであれば「安全」と勘違いしてしまうユーザーも少なくないのかもしれません。もちろん、これらの「安全ではありません」という表現は相対的なものであり、この警告が出ないから安全だという意味ではない、という知識は、ぜひネットを使うすべての人に知ってほしいのです。しかしながら、いまや「どのサイトもウェブブラウザだけで安全かどうかを判断することはできない」と覚悟しておく方がよほど安全でしょうし、ここは絶対安全と断言できない状況は誰もが気軽にネットを使う時代においては悩ましい現実でもあります。

ITセキュリティについての啓蒙記事というのはどうしても技術的な情報を分かりやすくかみ砕く必要があるのですが、分かりやすくし過ぎて大事な情報を落とした結果、壮大な与太記事懸念はいつもあります。

なお、ウェブサイトと通信の暗号化についてはちょっと面倒ですが以下の記事なども読んでおくと参考になりそうですね。

その通信は安全ですか？本当は怖い「SSLサーバ証明書」の話（ITmedia 19/3/1）

それにしても、インターネット上での情報の安全を啓蒙する記事のはずなのに、記事中でExtended Validation 証明書 (EV証明書）が大事だと説く根拠となるインターネット犯罪苦情センター（IC3）の記事では、EV証明書かどうかを確認しろとは書いていません。

それどころか、当記事を掲載している日経xTECHのサイトがEV証明書に適応していないという状況ですので、日経におかれましてはもう少し記事のテーマと執筆内容について吟味されると良いのではないかなあと思いました。