インターネット安全活用 一灯塾

最新のIT技術を正確に把握することは困難ですが、地道にコツコツ、IT技術に関する情報を発信します

ブラウザIEでサイトが安全かどうかを見分ける方法

個人情報流出がたびたびニュースで流れると、サイトが本当に安全を考慮して作られているのか不安になりますね。また、URLが「https://~」(通信が暗号化されている)でも、脆弱性(弱点)が攻撃される時代です。

 

ネットショッピングやインターネット・バンキングでは、やはりサイトが安全に作られているか確認することが大事です。

そこで、今回は、ブラウザIEでサイトが安全かどうかを確認する方法を”IE11”の例で紹介します。

 

サイトを表示した際にエラー表示が出た場合や、ショッピングやインターネット・バンキングをする際にサイトが安全かどうか確認する場合に活用ください。

 

なお、サイトの安全性の確認のためには、ブラウザIEはぜひ最新版に更新してください。

 

ブラウザを最新版にすることで、URLが”https://~”のときに使われている「SSL/TLS」という技術が持っている脆弱性(弱点)の対応も可能になります。


 ブラウザChromeでの確認方法は以下を参照ください。

  ブラウザChromeでサイトが安全かどうかを見分ける方法
  http://lifesecurityup.blogspot.com/2017/03/chrome.html

 

 ブラウザFirefoxでの確認方法は以下を参照ください。


  ブラウザFirefoxでサイトが安全かどうかを見分ける方法
  http://lifesecurityup.blogspot.com/2017/03/firefox.html

 

また、サイトの安全性を確認する方法の一つに、無料の”Webサイトの安全性診断サイト”を利用する方法もあります。詳しい使い方を以下のブログにまとめています。こちらも参考にしてください。

 ネットショップなどのサイトの安全性を簡単に判断する方法とは
 http://lifesecurityup.blogspot.com/2017/02/web.html

 

 


■ アドレスバーですぐに分かるサイトの安全性

 

”安全なサイト”と”不安なサイト”をアドレスバーで確認

[安全なサイト]

アドレスバーのURLの右に鍵マークの表示

 

[不安なサイト]

アドレスバーのURLの右に鍵マークが無い!
URLがhttps://~なのに鍵マークが無い!!

 

 

 


■ サイトの安全性を詳しく知るにはWebページの[プロパティ]を選択

 

Webサイトにアクセスしているときに、Webページ上で、画像などがないところを右クリックし、ポップアップ・メニューから[プロパティ]を選択します。

 

(1) Webページの[プロパティ]の表示

Webページ上で右クリックして、[プロパティ]を選択すると、小さな別画面で、Webページの情報が表示されます。

(注)この画面で”証明書”をクリックするとサイト証明書が表示されます。

 

 

 

 

(2)接続(通信プロトコル)を確認

[安全な場合]

接続(通信プロトコル)が「TLS1.2」であればOK

 

 

[安全ではない場合]

接続(通信プロトコル)が「TLS1.2」以外はNG

 

 

 

 

 

(3) Webページ[プロパティ]でサイト証明書を表示

[プロパティ]画面で[証明書]をクリックするとサイト証明書が表示されます。
 

 

 

 

①詳細タブの「署名アルゴリズム」を確認

②署名アルゴリズムにSHA256(SHA-2)を使っていればOK!

 

 


■ URLが「https://」でも悪用される危険性

■  使っている通信技術「SSL/TLS」にも悪用されるバーションがある

 

SSL(Secure Sockets Layer)と、TLS(Transport Layer Security)はいずれも、インターネット上でデータを暗号化して送受信するプロトコルです。

 

WebサイトのURLが「https://~」になっていると、「HTTP」と「SSLあるいはTLS」が組み合わせて使用されています。

 

HTTPがそのままデータを送信するのに対して、HTTPSは個人情報やクレジットカードの情報などを、SSLTLSで暗号化して送信しています。

 

SSL/TLSで、これまで使われているバージョン(2017年2月段階)には、SSL 1.0、SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1、TLS 1.2があります。安全なのは”TLS 1.2”のみです。

ごく最近まで広く使用されていたSSL3.0も、重大な脆弱性であるPOODLEが発見されたことから、多くの主要ブラウザはSSL3.0を無効とした他、TLS1.0/1.1においても脆弱性があることが分かっています。

 

 


■ URLが「https://」でも悪用される危険性
■  Webサイトの証明書を暗号化する技術「SHA-1」に悪用される危険性

 

Webサイトの証明書(サーバ証明書)が正規のものであるかをチェックする際に使われる一種の暗号化技術(ハッシュ化アルゴリズム)に、「SHA-1」、「SHA-2」と呼ばれるものがあります。

しかし、2005年、「SHA-1」に対する効果的な攻撃法が発見され、悪用される危険性があり、今では、「SHA-1」から「SHA-2」(SHA224、SHA256、SHA384、SHA512)への移行が推奨されています。

 

この「SHA-1」の危険性のため、2017年の最新ブラウザでは、安全でない暗号化「SHA-1」を使っているサイトではエラー表示が出るようになっています。

 

 ・Chromeは2017年1月の最新版の「Chrome 56」からエラー表示

 ・Firefoxは2017年1月の最新版の「Firefox 51」からエラー表示

 ・Microsoft Edge および Internet Explorer 11 は2017年2月14日から

 

SHA-1」を使っていた場合は、証明書の偽造が可能になり、ブラウザが本物のWebサイトと区別できなくなります。本来ならば、安全な暗号化「SHA-2」を使わないといけません。