2017年3月11日土曜日

ショップサイトなどのホームページ(https://)の安全診断ができる無料サービス紹介

ショップサイトやインターネット・バンキングなどの個人情報を入力するなどのホームページは、通常、URLが”https://~”(httpにsがついています)で、”SSL/TLS”という通信技術を使い、インターネットとの通信を暗号化しています。

なお、このようなホームページでも、通信を盗まれ攻撃に会う危険なホームページも存在します。


最近は、ネットショップなどの様々なホームページで個人情報の流出が相次いでいます。事前にサイトの安全性を確認しないと危険です。

そこで、URLが”https://~”の場合に使える、簡単なホームページ安全チェックサービスをまとめましたので、普段使っているショップサイトなどのホームページの安全診断に役立てて下さい。

今回紹介する中で、お勧めは、電子証明書を販売しているGMOグローバルサイン提供のWebサイトの安全性診断サイト”SSL Server Test”です。

これで、最近、個人情報流出が発覚したホームページ2つを診断してみると、脆弱性(弱点)があり、”安全でない”という結果になり、有効だと感じました。


この”SSL Server Test”は、診断結果がA+ 、A……Fまでの8段階のグレードで表示され、「B以下」と診断された場合には、何らかの脆弱性(サイトの弱点)あり、安全でないと判断できます。

例えば、カード情報が漏えいした可能性がある「Re:CENO公式オンラインショップ」の診断結果は「C」で、”安全でない”という結果でした。安全性(セキュリティ)をあまり考慮していないホームページでは、個人情報流出の危険性も高いと思われます。



■ ホームページの診断が正確 結果も分かりやすい

■ GMOグローバルサイン ”SSL Server Test”


 SSL Server Test (Powered by Qualys SSL Labs)
 https://globalsign.ssllabs.com/



GMOグローバルサインという電子証明書を販売している会社が提供している、無料のWebサイトの安全性診断サイトです。簡単で、かつ正確に安全性を判断してくれます。

■使い方

使い方は、簡単で、このサイトにアクセスして、①調べたいURLを入力 ②[Submit]をクリックすると診断がスタートし、しばらくたつと総合的な診断結果と、問題点の詳しい内容を知ることができます。




診断結果はA+ 、A……Fまでの8段階のグレードで表示され、「B以下」と診断された場合には、何らかの脆弱性(サイトの弱点)が見つかったことになります。

*8段階のグレードは、私がサイトを調べた結果、安全性が高い順に ”A+、A、A-、B、C、D、E、F” となっているようです。

ネットショップやインターネットバンキング等の金銭に関わるサイトの場合、診断結果が「B以下」は利用しないほうが無難です。


■Amazonの診断結果は最高の「A+」→安心して利用できます。

ちなみに、Amazonの診断結果は最高の「A+」でした、さすがですね。安心して利用できます。


■カード情報流出のサイトの診断結果は「C」→利用しないほうが良い

最近、カード情報が流出したサイトの診断結果は「C」ランクで、脆弱性(弱点)を持っていました。





なお、URLが”https://~”(Sがついている)の時に使われている”SSL/TLS”という通信技術が、安全な”TLS 1.2”バージョンを使用しているか、弱い暗号を使っていないかなど、詳しい脆弱性(弱点)も分かります。



また、“Configuration”の欄では、”SSL/TLS”で、使われている通信技術のバージョンが分かります。

2017年3月迄で使われている、”SSL/TLS”のバージョンには、SSL 1.0、SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1、TLS 1.2がありますが、安全なのは”TLS 1.2”のみです。




■ ホームページの安全性を細かく診断

■  Symantec”証明書チェックサイト”



 証明書チェックサイト(Check your SSL/TLS certificate installation)
 https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp

このサイトは、セキュリティソフト会社大手のSymantec(シマンテック)が提供しています。

このサイトでは、URLが”https://~”(Sがついている)の時に使われている”SSL/TLS”技術の安全性を細かく診断できます。

使い方は、簡単で、このサイトにアクセスして、①調べたいURLを入力 ②[Check]をクリックすると診断がスタートし、しばらくすると、問題点の詳しい内容を知ることができます。







■ その他のホームページ安全チェックサービス


ホームページにフィッシング、ワンクリック不正請求、不正改ざんサイト、ウイルスなどの危険があるかをチェックできるサービスもあります。


■gred http://check.gred.jp/

セキュリティチェック会社のセキュアブレイン社が、有料サービスの一部を無料で公開しています。

使い方は簡単です。 フォームにホームページのアドレスを入力して「CHECK」ボタンをクリックするだけです。

ホームページのフィッシング、ワンクリック不正請求、不正改ざんサイト、ウイルス、ワーム、スパイウェア、マルウェア などをチェックできます。



■virustotal https://www.virustotal.com/ja/

VirusTotal は、無料のマルウェアチェックサービスです。ウイルス、ワーム、トロイの木馬、あらゆる種類のマルウェアを素早く検出できます。