「保護されていない通信」って何が保護されてないの?

GoogleChromeでWebサイトへアクセスすると、時折見かける「保護されていない通信」という文字。グラブルや艦これなど、Webブラウザを利用したゲームで見掛けることが多いです。

「THE 危険」を体言したようなおぞましい表示に恐怖した方も少なくないでしょう。実はぶっちゃけ危険でもなんでもないのですが、ここまで脅されてしまうと、僕が「あぶなくないよ!」と言ったところで安心できるはずもありません。

そこで今回は、「そもそも何が保護されていないのか」「保護されていないとどうなってしまうのか」などについて、記事としてまとめてみました。

ぼく

皇族でもない限りは気にしなくて可

「保護されていない通信」とは「非SSLサイトである」旨の警告

取り付けられた南京錠の画像

「保護されていない通信」とは、GoogleChromeがSSLに対応していないサイトを表示する際の警告文言です。

あくまでGoogleChromeというひとつのブラウザが警告のために表示しているだけであって、WEBサイトに問題がある訳ではありません。Googleさんが「このサイト気にいらねぇんだけどマジで見んの?」と陰口を叩いているようなもの。

以前より、URLがhttpから始まる(非SSL)かhttpsから始まる(SSL)かで判別はできたのですが、Chrome68より明確に系国文が表示されるようになりました。

SSL=通信の暗号化

 

SSL(Secure Sockets Layer)とTLS(Transport Layer Security)は、いずれもインターネット上でデータを暗号化して送受信する仕組み(プロトコル)です。 個人情報やクレジットカード情報などの重要なデータを暗号化して、サーバ~PC間での通信を安全に行なうことができます。

引用元: SSL/TLSってなんだろう?

SSL(secure sockets layer)というのは、サイトからあなたへ送られる通信【受信】及び、あなたからサーバーへ送る通信【送信】を、暗号化してから行う拡張機能のようなもの。あくまで「暗号化の是非」なので、WEBサイトそのものの安全性などには全く関係ありません。

ユーザーとサイトの間、または 2 つのシステム間で送信されるデータを一切読み取れないようにすることで、セキュリティを強化します。送信されるデータは暗号アルゴリズムで意味をもたないデータに変換されるため、接続を介した送信中にハッカーに読み取られることがありません。クレジットカード番号などの情報、名前、住所といったあらゆる機密情報や個人情報が対象となります。

引用元: SSL/TLSサーバ証明書とは

つまるところ、「このサイトから送信した情報は、保護されたサイトと比べてハッキングしやすいけどいいの?」という警告。わざわざ通信を傍受・改ざんしようとする人がいなかったり、そもそも見られて困る情報を送受信していなければ、そこまで気にしなくても良いのが正直なところ。

ぼく

もちろん通販サイトなどでは要注意

「非暗号化=覗かれている」という訳ではない

テーブルの上に置かれた双眼鏡

ちなみに、「保護されていない通信」だから情報が筒抜け!かと言ったら、それも全く別の話。

あくまで、通信を傍受できるような技術者が、その技術を悪用して通信を無理やり傍受・改ざんしようとしたときにそれを挫くだけであり、僕たちのような一般人からは当然確認できません。

なりすまし防止の役割も

先程のデータ改ざんで登場した市役所のホームページですが、完全にホームページをコピーして違うサーバーへ設置し、URLも同じにして、○○市役所ですよ!と名乗ることが実はできてしまいます。ですが、SSL通信の際に必要な秘密鍵はコピーできません。秘密鍵が無い状態でSSL通信を試みてもその通信先が保証されないため、ブラウザ側で「このホームページは○○.jpと名乗っているけど実際には違うサイトだよ!」と教えてくれます。

引用元: SSLとは

また、SSLには、偽サイトによる「なりすまし」を防止する役割もあります。SSL化するには「証明局」と呼ばれる企業が責任を持って発行したサーバー証明書が必要になるので、違法ななりすましサイトをブラウザが容易に判断できるようになるのです。

暗号化によって通信時の傍受・改ざんを防ぎ、証明書によって偽のWEBサイトと通信することを防ぐため、運営者が意図したページを表示できるようにするのが、GoogleChromeの満足する「保護されている通信」ということになります。

ぼく

自動で発行されないから、逆に言えばhttps対応していないサイトもある

サイトそのものの安全性には関係ない

ここで注意したいのは、SSL化されているからと言って、安全なサイトであるとは限らないということ。サーバー証明書の発行には審査こそあるものの、一番簡単なものは「ドメイン(サイトURL)が正しいか否か」程度の審査でしかありません。

そもそものサイト運営者側が「閲覧者をウィルスに感染させてやろう」と考えていた場合は正しくウィルスが飛んできますし、「個人情報を悪用してやろう」と考えていればセールスメールが大量に届くでしょう。逆に技術者からしても、保護されていなかろうが普通のWEBサイト(当サイトのような)を改ざんするメリットは非常に薄いのはお分かりいただけるはず。

「保護されていない通信」だから危険、SSL化されているから安全、という訳では決してありません。

ぼく

当サイトのサーバー証明書も1クリック発行です

スポンサードリンク

テキスト入力時には警告が強まる【赤字】

テキスト入力時に、GoogleChromeの「保護されていない通信」の警告文字が赤くなっている画像

通信の暗号化という性質上、SSLが最も効果を発揮するのは、ユーザー側がサーバーへ重要な情報を送信するとき。たとえばクレジットカード番号を傍受されれば悪用されますし、メールアドレスが傍受されればセールスメール一括送信のメーリングリストへ直行でしょう。

そのため、GoogleChromeでは、SSL化されていないサイトのテキストボックスへ文字を書き込もうとした場合に「保護されていない通信」が赤く染まります。通常のブラウジングでは特に注意する必要もない「保護されていない通信」ですが、赤く染まった「保護されていない通信」には耳を傾けるが吉。

個人情報は、2011年の世界経済フォーラムで第2の石油とまで称される、今となってはお金になりやすい要素の1つです。相応の技術者が人生を掛けるほどの価値がありかねないので、あなたが情報を送信するようなサイトで「保護されていない通信」が表示された場合、そのサイトを利用するのは控えるのが無難でしょう。

ぼく

あ、グラブルのチャット入力なんかで赤く染まるのは気にしなくても良いです

GoogleChromeの独自表示

Internet Explorerでhttpサイトへアクセスした場合の画像

何度か先述した通り、「保護されていない通信」というのはウェブブラウザ”GoogleChrome”の独自表記です。

FireFoxではアドレス横に小さなアイコンが表示されるだけですし、Internet Explorerに至っては何も表示されません。

保護されていない通信表記があまりにも邪魔に感じるようであれば、ブラウザを乗り換えるのも1つの手でしょう。逆に言えば、サイト訪問者が保護されていない通信表記を消すにはブラウザの乗り換えしかありません。

ぼく

設定で非表示にはできない

スポンサードリンク

先頭を「https」に変えると消える場合も【対処法・消し方】

アドレスの先頭にhttps://を手動で入力した場合の画像

SSLに対応したサイトであっても、httpから始まるアドレスで表示しないようになるわけではありません。httpでアクセスされた場合、自動でhttpsへ飛ばす処理(リダイレクト)を行っているサイトが殆どですが、中にはhttpのサイトをそのまま放置している場合もあります。

そのため、アドレスバーのURLを「https://」から始まるように手で入力すると、「保護されていない通信」表記が消える場合もあります。

赤字でアクセスできない場合はhttps非対応

証明書とサーバーが一致しなかったり無理やりhttpsを付け足して対応していなかった場合の画像

テキストを入力してもいないのに、アドレスバーに「保護されていない通信」と赤字で表示されたうえアクセスできない場合は、そのサイトがSSL(https)化に対応していないことを表します。

「この接続ではプライバシーが保護されません」と大きく表示された警告画面が表示されるだけで、Chromeから該当ページへのアクセスは不可能なので、アドレスバーの「https」を「http」へと戻しましょう。

ちなみに、SSL証明書を発行できていないのに運営者が「自動でhttpsへ飛ばす処理」を行ってしまっている場合、GoogleChromeからそのページへアクセスすることはできません。なりすましサイトである可能性が高く、閲覧は推奨できませんが、Internet Explorerなどの男気ブラウザであれば「無理やり続行する」ボタンもあったりします。

証明書とサーバーが一致しなかったり無理やりhttpsを付け足して対応していなかった場合の画像(Internet Explorer)

ぼく

IEが推奨しないんだからよっぽどだけど