ECサイトでの買い物はここに注目!セキュリティに強いSSL通信とは
近年では、ECサイト(通販サイト)を利用したネットショッピングが一般的になっています。多くの方がECサイトのアカウントを持ち、ネット上で買い物をするようになりました。スマートフォンやタブレットなどのモバイルデバイスが普及し、インターネットがより多くの方にとって身近な存在となったことが大きく関係しているといえるでしょう。
しかし、非常に便利な時代になった一方で、ECサイトの利用には問題も浮上しています。アカウント作成や決済時に入力する個人情報の流出です。
ここでは、セキュリティ対策が万全ではないECサイトや、ユーザーを狙った事件が多発している事実と、ユーザーの貴重な情報を守るセキュリティ技術「SSL通信」についてご紹介します。
目次
セキュリティの脆弱性を狙った事件が続発!
ECサイトで買い物をする際、ユーザーは情報を入力してアカウントを作る必要があります。このとき必要となるものは、氏名や住所、年齢といった個人情報や、決済に使用するクレジットカード情報です。
通常、アカウント情報はユーザーとサイト側でしか共有されませんが、専門的な技術を持った第三者が意図的にサイトのシステムに侵入し、不正に個人情報を入手、利用することがあります。手口や犯行は細分化していることも問題です。
ここでは、セキュリティの脆弱性を狙った犯行についてご紹介します。
なりすまし
第三者がECサイトの運営・管理者になりすまし、ユーザーの情報を不正に入手することがあります。まるで本物のようなECサイトのページを作り上げ、警戒心を解いたユーザーから情報を引き出す手口が一般的です。
近年では、ユーザーがURLを正しく入力しているにもかかわらず、偽サイトへと誘導する「ファーミング」という手口も横行しています。
盗聴
ネットワークを介して伝わる情報は、セキュリティ次第では簡単に傍受可能です。専門のソフトウエアなどを使用して、ユーザーの情報を入手する手口は「盗聴」と呼ばれています。
クレジットカード情報、個人情報を悪意ある第三者に盗聴されると、悪用されてしまう可能性があります。
改ざん
IDやパスワードが漏えいすると、アカウント情報を改ざんされてしまいます。
意図していない決済が実行されたり、決定した買い物が勝手にキャンセルされたり、商品数が変更されたりするなど、被害はさまざまです。
個人情報を守る「SSL通信」
第三者の犯行に対して、セキュリティ対策が講じられていないわけではありません。
現在は、「SSL通信」という方式が、信頼性の高いセキュリティ対策として、主にECサイトを中心に普及しています。
ここでは、SSL通信についてご紹介します。
SSL通信とは?
SSL(Secure Socket Layer)通信とは、なりすましや盗聴、改ざんなどの被害からユーザーの情報を守る、暗号化プロトコルの1つです。送受信する情報に特殊な処理を加えることにより、第三者による盗聴や改ざんを防止します。世界標準のセキュリティ対策として、多くのECサイトで採用されている方式です。
SSL通信で行われていること
SSL通信では、大きく分けると以下の2つの処理によって情報が守られています。
暗号化
データを第三者に分からない形式に変換して運用することを「暗号化」と呼びます。
SSL通信では、ユーザーによって入力された情報に暗号化を施した状態で通信が行われます。
実在証明
SSL通信ではページの安全性を、信頼できる第三者機関から発行される証明書によって判別しています。「実在証明」が確認できたページは、なりすましのサイトではありません。
SSL通信の暗号化の方式
SSL通信とは、暗号化によって情報を守るセキュリティ対策です。暗号化には「公開鍵暗号方式」と「共通鍵暗号方式」という2つの方式があります。
両者の違いは、情報を暗号化する際の「鍵」と、情報を暗号化してから元に戻す「復号化」を行う際の「鍵」です。
ここでは、「公開鍵暗号方式」と「共通鍵暗号方式」という2つの方式についてご紹介します。
公開鍵暗号方式
公開鍵暗号方式では、暗号化と復号化にそれぞれ違う鍵が使われます。それぞれの鍵は「公開鍵」、「秘密鍵」としてペアで扱われ、公開鍵によって暗号化された情報は、対になった秘密鍵でしか復号化できません。
正しい鍵の組み合わせで初めて機能するため、片方の鍵が流出しても復号化されないというメリットがあります。
共通鍵暗号方式
共通鍵暗号方式では、暗号化・復号化で共通の鍵が使用されます。共通鍵の流出が復号化につながってしまうリスクがある一方で、暗号化・復号化の処理が早く終わるというメリットもあるのです。
SSL通信の暗号化
SSL通信は、公開鍵暗号方式と共通鍵暗号方式を組み合わせて通信を行います。
以下が具体的なプロセスです。
1.クライアント(ユーザー)から、サーバー(Webサイト)にアクセス
2.証明書と公開鍵が、サーバー側から送付
3.クライアントによって証明証が検証され、問題が確認できなければ、共通鍵が生成
4.共通鍵がサーバーに送られる。このとき、共通鍵は証明書と同時に送られてきた公開鍵によって暗号化される
5.サーバー側は、公開鍵に対応する秘密鍵によって復号化を行い、共通鍵を入手
6.クライアント、サーバー間で共通鍵が共有され、暗号化された通信が可能となる
SSL通信によって守られているか見分けるためには?
SSL通信は、独自の方式によって非常に強力なセキュリティ効果を実現していますが、すべてのサイトに実装されているわけではありません。
そのため、SSL通信が施されていないECサイトを利用すると、情報を抜き取られてしまう可能性があります。
また、そのサイト自体がなりすましである場合もあるのです。
ユーザー側で証明書の有無を確認し、SSL通信によって守られているサイトかどうか見分けることもできます。SSL通信によってサイトが守られている証拠は、ブラウザのURLに表示される鍵のマークです。鍵のマークは、サイトにSSLが導入されていることを証明しています。
ブラウザごとの操作方法に従えば、証明書の内容を確認することも可能です。証明書には、サイトの運営主体をはじめとする詳細な情報が記されています。一方、ブラウザ側のセキュリティによって、SSLで守られていないサイトが検知され、アラートが表示されることも少なくありません。そのようなサイトは、セキュリティが脆弱な可能性があります。
個人情報を入力する場合は、URLの枠内に鍵のマークがあるかどうかに注目してください。特にクレジットカード番号など決済に関する情報を入力する際には、必ず確認しましょう。
ECサイトを安全に利用しよう
ECサイトでの買い物はとても便利ですが、「なりすまし」「盗聴」「改ざん」といった被害が発生しています。ECサイト側だけではなく、ユーザー側にもセキュリティへの関心が求められているといえるでしょう。
SSL通信は、利用するECサイトの安全性を判断する1つの基準です。ECサイトでアカウントを作成したり、決済したりする際は、必ずSSL通信の対応を確認してください。
ECサイトを使用する際に、SSL通信に対応をしているか注意することで、個人情報やクレジットカード情報の流出を未然に防ぐことにつながります。
PCホスピタルでは、安心してECサイトが利用できるようにインターネットの使い方レッスンも承っております。お気軽にご依頼ください。
濱﨑 慎一(日本PCサービス株式会社 常務取締役 兼 NPO法人 IT整備士協会 理事)
2010年8月、日本PCサービス株式会社に入社。パソコン修理などデジタルトラブルを5年で4500件以上解決。その後、サポート人材育成など、事業責任者として、個人向けデジタルトラブル解決に8年半携わる。2019年より同社にて、法人向けサポートの取締役に就任。また特定非営利活動法人 IT整備士協会の理事として業界活性化のため正しいデジタル知識の普及、スマートフォンなどの新しい整備士資格の構築に携わる。
保有資格 パソコン整備士検定 取得