何気なくWebサイトにアクセスしたとき「保護されていない通信」と表示されるとセキュリティ上の不安を感じますよね。しかし、この表示は必ずしもそのサイトがハッキングされていることを意味するわけではありません。
この記事ではWebサイトの「保護されていない通信」の意味と危険性についてご紹介します。
「保護されていない通信」ってそもそも何?
「保護されていない通信」とは、通信が暗号化されていないサイトに表示される警告。分かりやすく言えば、URLが「http://」から始まるWebサイトです。
WebページがHTTPSプロトコルに対応していないため、通信内容が暗号化されず、第三者に通信中のデータを盗み見られたり、改ざんされるリスクがあり、このような警告が表示されます。
一方、URLが「https://」から始まる「保護されている通信」は、SSLを使用して通信が暗号化されているため、安全性が高くなります。しかし、かつてはHTTP通信がごく普通にWebサイトで利用されていました。そのため、歴史のあるサイトや古い個人サイトなどを閲覧しようとすると、「保護されていない通信」という表示が出る場合もあります。
「保護されていない通信」のWebサイトを見るのは危険なの?
「保護されていない通信」と表示されるサイトでも、閲覧するだけならばただちに危険につがることは考えにくいです。ただし、SSL対応のサイトに比べると脆弱性があるのは間違いありません。特にそのサイトにフォームがある場合や、個人情報などのデータを入力する場合、極めて高いリスクがあります。
データが第三者に盗み見られたり、改ざんされるおそれがあるため、ログイン情報やクレジットカード番号などは入力しないようにしましょう。
「保護されている通信」「保護されていない通信」の見分け方
ウェブサイトが「保護されている通信」かどうかは、URLの前に「https://」と記載されているかで判断できます。また、アドレスバーに南京錠のアイコンが表示されていることも、通信が暗号化されている証拠です。
どうして「保護されていない通信」のWebサイトやブログはまだまだ多いの?
「保護されていない通信」のWebサイトやブログがまだまだ多い理由には、それらのサイトが使用しているブログサービスの「HTTPS対応」への対応状況があります。
その代表例は、ライブドアブログです。ライブドアブログでは「サブディレクトリ形式の旧標準URL(http://blog.livedoor.jp/●●●/) につきましてはHTTPS対応を行う予定はありません。」と公表しています。
ライブドアブログでは個人ブログやまとめサイトなどが多く開設されているため、それらのサイトの閲覧機会が多い方は「保護されていない通信」を目にする機会も多いかもしれません。
また個人サイトやまとめサイトにとっては、HTTPS対応の手間が小さなものではないことも「保護されていない通信」がまだまだ多い理由として挙げられるでしょう。
たとえばライブドアブログでサブディレクトリ形式の旧URLを利用していた管理者は、そのままではHTTPS対応ができないため、独自ドメインのURLへの変更を検討するケースが多いでしょう。ドメイン取得の手間とお金が、まずかかります。
そうしてドメインを変更してHTTPS対応をしても、過去のコンテンツの中に「http」が残っている場合、サイト内に「http」と「https」が混在します。httpとhttpsの混在は「ミックスコンテンツ」と呼ばれ、Googleをはじめとする検索エンジンからサイト評価を引き下げられやすい要因にもなります。
つまり「手間とコストがかかるうえに、サイト評価が下がる可能性もある」ため、対応に二の足を踏む管理者の方も多いでしょう。よって今日に至るまで「保護されていない通信」のサイトは、残り続けている状況です。
自分が愛用しているWebサイトが「保護されていない通信」の場合、どうしたらいいの?
たとえば地方の飲食店などの公式サイトが「非SSL」という場合は少なくないでしょう。こうした公式サイトにはフォームを備えている場合も多いですが、やはり個人情報の入力は極めて高いリスクがあります。そのため予約は電話や別の予約サイトを通して行うことをおすすめします。
また個人サイトやまとめサイトも、先述した理由で管理者がSSL対応をしていないこともあります。どうしても閲覧するならば「サイト運営者が信頼できる」という前提に立ったうえで、自己責任で閲覧するようにしましょう。
※サムネイル画像は(Image:「ライブドアブログ」より引用)