先の記事に書いた通り、HTTPSでも防げないリスクがあります。
HTTPSはあくまで「通信の通り道が安全(暗号化されている)」ことと、「相手の身元が証明されている」ことを保証するだけで、その先の「相手の意図」までは保証してくれないからです。
具体的に、HTTPSでも防げないリスクを3つに整理しました。
目次
HTTPSでも防げない3つのリスク
1.「暗号化された詐欺サイト」の存在
これが現代で最も多い罠です。
- 仕組み: 悪い人も無料でHTTPS(証明書)を手に入れられます。
- リスク: 通信はしっかり暗号化されているので、パスワードを盗聴されることはありません。しかし、入力したパスワードは「安全な通信」を通って「悪い人の手元」に届きます。
- 例: 偽のAmazonや銀行サイト。鍵マークがついているからと安心させて、情報を入力させる手口です。
2.「証明書」の偽造や乗っ取り
非常に稀ですが、システムの弱点を突いて偽の証明書が発行される事件が過去に起きています。
- リスク: ブラウザが「このサイトは本物です」と表示していても、実は全く別のサーバーに繋がっているという状態(中間者攻撃など)が理論上可能です。
3.通信の先にある「コンテンツ」の危険性
HTTPSは「運び方」のルールであり、「中身」がウイルスかどうかはチェックしません。
- リスク: HTTPSで保護された公式サイトから、ウイルスが仕込まれたファイルをダウンロードしてしまう可能性があります。
- 例: 改ざんされた公式サイト、悪意のある広告など。
安全性の「階層」で理解しよう
安全性を判断するには、HTTPSだけでなく、それ以外の要素を組み合わせる必要があります。
| 確認項目 | 保証してくれること | 限界 |
|---|---|---|
| HTTPS (鍵マーク) | 通信の覗き見防止(暗号化) | 相手が詐欺師でも暗号化は可能 |
| URL (ドメイン) | 相手が誰であるか(住所) | 似た名前に騙される可能性がある |
| EDR / SOC | PC内の怪しい動きを検知 | 情報を自分から渡すと防げないことも |
どう向き合えばいい?
「HTTPS=安全」ではなく、「HTTPSではないサイト=絶対に危険」と考えるのが正解です。
- HTTPSでないサイト: 玄関が開けっ放しで、会話も外に丸聞こえの状態。
- HTTPSのサイト: 頑丈な金庫室。ただし、その金庫室の主が「銀行員」か「悪い人」かは、看板(URL)をよく見て自分で判断する必要がある。
今のインターネットは、HTTPSという「盾」を持ちつつ、自分自身の「目」でURLを確認する、という二段構えの警戒が欠かせません。