習い事教室 ホームページ制作
セキュリティ低すぎ、日本のブログ&ホームページ
公開日 2018-07-25 | 更新日 2018年7月28日
ウェブ上での HTTPS 暗号化
「HTTPS 経由で読み込まれたページ」とは、SSL という基本的なセキュリティ対策をしたホームページやブログのことです。つまり、上位4か国ドイツ、アメリカ、メキシコ、フランスでは、Android ユーザーがアクセスしたホームページ・ブログのページのうち、8 割以上がセキュリティ対策していたけれど、残り 2 割はしていなかった。それに対して、日本では、やっと半分がセキュリティ対策していたけれど、残り半分は基本的なセキュリティ対策の SSL 化すらせず、ユーザーを危険にさらしていたということです。
何が危険なのか
SSL とは、認証局がそのホームページの所有者が実在することを認証し、情報のやり取りを暗号化する技術です。これにより、そのホームページやブログ内の情報を第三者が途中で盗み見たり、改竄したりできなくなります。
つまり、SSL 化していないホームページやブログでは、所有者や運営者がどんなに善良でも、見ているページそのものが改竄される可能性があるわけです。
改竄というと、元のページがガラッと変わり、ハッカーがハッキングスキルを誇示するイメージが強いかもしれません。しかし、今どきの改竄はそんなわかりやすいものばかりではありません。デザインを変えず、ちょこっとインチキなホームページへのリンクを付け加えるという悪質なものもあり、運営者も気づかないことがあります。
こうした危険は iPhone ユーザーにとっても同じです。Android にとって危険なページは iPhone にとっても危険なのです。
対策としてはまず、ホームページやブログサイトをまるごと、SSL化しましょう。
遅れている日本のセキュリティ対策
冒頭挙げた、Google の「Chrome で HTTPS 経由で読み込まれたページの割合(国別)」グラフは、2015年3月18日から2018年7月7日までのデータが国別に折れ線グラフになっています(執筆時点)。それによると、日本は当初 12% から出発し、徐々にセキュリティ対策を進めてきたのがわかります。しかし他国はもっと真剣にセキュリティを上げてきたので、結果として、日本は一度も順位をゆずることなく、9 位のインドネシアとの差を縮めることなく、ずっと最下位を驀進してきました。
その間、Google Chrome や FireFox などのブラウザは、SSL 化したページを鍵マークで表示するだけでなく、SSL 化していないページに対して、入力フォームに情報を書き込むと、「保護されていません」といった表示して、ユーザーの注意を喚起してきました。
しかしこうしたやり方では、「本名や住所を書かなきゃいいんだ」という誤解を生みます。
たとえ、何も入力しなくても、何もクリックしなくても、ホームページやブログを見ただけで感染するマルウェア(悪質なプログラム)は存在します。そんなマルウェアを SSL 化していないホームページやブログに仕込むことは可能です。
7月リリースの Chrome 68 でさらに警告が強化され、SSL 化していないすべてのサイトでは、入力フォームがあろうがなかろうが、商用であろうがなかろうが、「保護されていません」という警告を出すことになっています。
上記記事が、日本語で発表されたのは、今年の2月27日でしたが、日本の対策は遅れています。
人気ブログサービス「はてなダイヤリー」は、まったく手がつけられていません。(本稿執筆時点)
「はてなダイヤリー」にはおもしろいブログが多いので、はてなには本気を出してほしいものです。
そして、極めつけはここ↓です。
経済産業省
今年10月の Chrome 70 では、SSL化していないページで1字でも入力すると、警告が赤くなります。
Evolving Chrome's security indicators
10月には、我が国のサイバーセキュリティの司令塔のホームページはトップイメージのような感じになるのでしょうか!?
うちのホームページはまだ http だという人へ
デジタルエイドは SSL 化推進プロジェクト を立ち上げました。
このプロジェクトは、SSL 化を目指す人々をサポートするのを目的としています。
ここでは、まず無料相談を行い、相談者のホームページをSSL化するには、どんな作業を、どういった手順ですべきか、具体的にアドバイスします。
もし、スタッフがいなくて、アドバイスを実行できないという方に関しては、IT エンジニアが有料でサポートします。
まずは無料相談をご利用ください。