| Question 5 SSLを使えばネット・ショッピングは安全? |
Q インターネットで買い物をしたり,個人情報を入力することに対して不安があります。SSLが利用できるサイトなら,情報漏洩の心配がないという話ですが,SSLは本当に安全なのでしょうか。
A Webブラウザを使った普通のWebアクセス(HTTPアクセス)では,送受信データは暗号化されずに平文のままで流れています。このため,第三者が通信経路上のデータを盗み見することができます。郵便に例えればハガキのようなものと言えるでしょう。ですから,インターネットでクレジットカード番号や住所,氏名などの個人情報をそのまま送信すれば,当然第三者に盗み見される可能性があり,危険だということになります。
これに対して,SSL(Secure Sockets Layer)は, WebサーバーとWebブラウザの間の通信を暗号化する仕組みです。この暗号化方式は強力であり,解読はほとんど不可能とされています。つまり,経路上のデータを第三者に不正に取得されたとしても,そこから情報を盗まれる可能性はほとんどなく安心だと言えます。ショッピング・サイトなどでクレジットカード番号,住所,氏名,電話番号などの機密情報を入力するときには,SSLに対応していることが必須条件で,SSLに対応していないサイトでは,機密情報などを入力・送信してはいけません。これはインターネット・ショッピングの基本です。
見せかけだけのセキュリティ
では,SSL対応のWebサイトなら信用できるのかというと,答えは「ノー」です。なぜならば,SSLで保護されるのは,WebブラウザとWebサイトの間でのデータ盗聴に関してだけだからです。データ盗聴も大きな脅威ですが,インターネット・ショッピングにおける危険性は,それ以外にもあるということを認識しておかなければなりません。
サイト管理者やネットショップ側は,SSLに対応していないとお客さんがサイトを信用してくれないことを知っています。ですから,最近のショッピング・サイトのほとんどがSSLに対応しています。しかし,SSL対応の目的は必ずしも顧客の送信データ保護ではなく,受注アップが目的のことも少なくありません。
 |
| 図8●セキュリティ意識の低いサイトの例 |
このように表面的にSSLを利用しているサイトでは,SSLでオーダーした注文内容や個人情報が「確認」と称して平文のメールで送り返されて来ることがあります(図8[拡大表示])。このことは確認メールの盗聴の可能性を考えていないとしか思えません。SSLは受注アップのために使用される“飾り”と思われても仕方がないでしょう。
また,サーバーに届いた後のユーザー情報の管理が正しく行われているかどうかは,外部からはなかなか判断できません。プライバシ・ポリシーについても,同様に決まり文句が並んでいるだけで,本当にポリシー通りに運用されているか疑問なサイトも見受けられます。
ネット上で詐欺行為を働くサイトも少なくありません。このような詐欺サイトはユーザーをいかにだますかを考えて作られています。サイトのデザインも立派で,SSLにも対応してるからといって信用するのは危険なのです。
最近,Webサイトからの個人情報流出が多発しています。SSLで保護されて送信されたデータも,サーバーの中では,暗号が解除され保存されています。Webサイト自体のセキュリティ管理が甘いと第三者からの不正アクセスによって,情報が流出することもあります。その会社内の犯行もないとは言えません。
ある程度のリスクを覚悟すべき
では,どのようなサイトが安全なのでしょうか。正直なところ筆者にも分かりません。有名な大会社であっても,情報を扱っている人が正しい運用をしている保証はありません。担当者のパソコンの中に顧客データベースのコピーが置かれているといった,ずさんな管理もあるでしょう。ですから,インターネット・ショッピングなどを行う場合,常にある程度の情報漏洩のリスクを考慮しておく必要があるのです。
少なくとも,名前も聞いたことのない会社のWebサイトにカード/個人情報を登録しない,クレジットカードの利用履歴を毎回欠かさず確認し,問題が見つかった場合にはカード会社にすぐに報告する,といった対策はしておきましょう。
|
Daiji Sanai |
