Webブラウザに表示される鍵マークと「https」が安全な通信のポイント スマートフォンの普及により、いつでもどこでもWebページを活用できるようになりました。Webページ自体の用途も広がり、モバイルバンキングなど他人に知られては困る情報をWebページに入力することも珍しくなくなりました。Webブラウザにはこのような通信を安全に行う暗号化のしくみが備わっていますが、Webページ側が暗号化のしくみを利用していない場合には意味がありません。
そこで今回の連載「スマホのちょっと深いとこ」では、Webページを取得する際に暗号化されているかどうかによる通信内容の変化をネットワークツールを用いて調べることにより、暗号化されていない通信は内容が簡単に盗み見されうることを示します。暗号化のしくみを知ってWebページを安全に楽しみましょう。
Webブラウザの通信暗号化、キーワードは「SSL」と「https」
今回検証するWebブラウザの通信暗号化はSSL(Secure Sockets Layer)と呼ばれるものです。SSLを利用することで、PCやスマートフォンとその通信相手(Webサーバーなど)の間で安全に通信することができます。仮に通信経路上でその内容を盗み見したとしても、暗号化されているため意味のある内容を取得することはできません(*1)。
SSLを用いたWebページはURLが「https://」で始まります。またブラウザによってはSSL使用時に鍵マークなどが表示されます。一方暗号化されていない通常のWebページの場合、URLが「http://」で始まります(*2)。
*1: SSLに限らず暗号には「解読して内容を盗み見されるリスク」が存在しますが、今回はSSLの暗号強度や解読可能性に関する議論は行いません。
*2: ブラウザによっては「http://」表示が省略される場合があります。
SSL使用時(写真=上)と不使用時(写真=下)のWebブラウザ表示
今回使用する検証環境
今回使用する検証環境について説明します。検証用WebサイトはGoogleが提供するクラウドサービス(Google App Engine)を用いて構成します。このWebサイトはSSL不使用(http://)とSSL使用(https://)のどちらでもWebブラウザから表示することができます。Webページの内容はメールアドレスとパスワードを入力してログインする操作を想定しています。
検証用Webサイト。ログイン画面(写真=左)とログイン後画面(写真=右)
スマートフォンは、MacBook Pro(OS X)のインターネット共有機能を用いて作成したアクセスポイントにWi-Fiで接続します。このときスマートフォンの全てのインターネット通信はMacbook Proを経由するため、Macbook Proにインストールされたネットワークツール(WireShark)を用いて通信内容を確認することができます。
検証環境の構成。通信経路上のMacbook Proで通信内容を確認する
SSLを利用しない場合はパスワードが丸見え】
それではスマートフォンから検証用Webサイトを表示した時の通信内容を見ていきましょう。まずSSLを利用しない場合は、スマートフォンからWebサイトへの通信内容がそのまま見えてしまいます。スマートフォンの画面上では伏せ字になっていたパスワードもそのままズバリの文字列として送信されていることがわかります。
SSL未使用時は通信内容に含まれるパスワード(12345678)が丸見え(赤線部)
一方SSLを利用した場合は、全ての通信が単純に判別できない状態で暗号化されていることがわかります。SSLの暗号自体を攻撃により解読しない限り、通信内容を知ることはできません。
SSL使用時は通信内容が暗号化されている(赤線部)
SSLの利用はインターネットの基本、再確認を
「パスワードなど外部に漏れては困る情報をWebブラウザで送信するときは鍵マークやhttpsから始まるURLを確認する」というのは、スマートフォン登場以前のインターネット普及初期からよく注意喚起されていたことです。インターネットの存在が当たり前のものとなり、フォームに秘密情報を入力することも日常の自然な行為となっている現在ですが、ここで基本に立ち返って少しだけWebブラウザのセキュリティに用心してみることも大事なのではないでしょうか。
■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX – Facebookページ
・連載『吉川英一の「スマホのちょっと深いとこ」』記事一覧 – S-MAX
コメント