2017年2月26日日曜日

ネットショップなどのサイトの安全性を簡単に判断する方法とは

最近は、ネットショップなどの様々なサイトで個人情報の流出が相次いでいます。このようなニュースを聞くと、なんでもう少し安全なサイトを作らないかと、怒りを通り越して、あきれてしまいます。

そこで、個人情報を入力するサイトの安全性の判断基準をまとめましたので、参考にしてください。最後に詳しく紹介します。

なお、今回紹介する安全性の判断基準で、問題があったサイトは、サイト自体が、安全性(セキュリティ)をあまり考慮していないサイトで、個人情報流出の危険性も高いと思われます。



 ①基本中の基本は、URLが”https://~”(Sがついている)で、アドレスバーに”鍵マーク”がついていること
 

 ②URLが”https://~”の場合に、使っている”SSL/TLS”という通信技術が安全かどうか確認すること

  例えば、暗号化技術が「SHA-2」で、暗号通信プロトコルが「TLS 1.2」であること


なお、②については、GMOグローバルサインという電子証明書を販売している会社が提供している、無料の”Webサイトの安全性診断サイト”を利用してみてください。


 SSL Server Test (Powered by Qualys SSL Labs)
 https://globalsign.ssllabs.com/


診断結果はA+ 、A……Fまでの8段階のグレードで表示、「B以下」と診断された場合には、何らかの脆弱性(サイトの弱点)が見つかったことになります。

難しいことが分からなくても、簡単にサイトの安全性を判断できます。


また、使っているブラウザを最新版に更新することも大事です。 ブラウザの更新方法は以下を参照ください。

 パソコン・スマホのブラウザを最新版に更新しましょう
 http://lifesecurityup.blogspot.com/2016/12/blog-post_4.html

 

ブラウザを最新版にすることで、URLが”https://~”のときに使われている「SSL/TLS」という技術が持っている、「SHA-1」問題に加え、”POODLE”脆弱性、”FREAK”脆弱性についても、エラー表示などの対応が可能になります。


■ 個人情報を扱うサイトは URLが「https://~」で 鍵マークを確認


銀行やショッピングサイトなどのように個人情報を扱うサイトでは、必ず、ブラウザの

 アドレスバーの表示に、
 ①URLが ”https://” ②鍵マーク が付いている
 
ことを確認してください。





■ 更に安全なホームページを示す「EV SSL」
■   インターネット・バンキングの場合はこれを確認しよう!!


なお、インターネット・バンキングなどでは、SSLの安全性を更に強固にした「EV SSL証明書」が使われているかの確認も必要です。

EV SSLの場合、

 アドレスバーの表示に、
 ①URLが”https://” ②鍵マーク に加え ③企業名
 
が付いていることを確認してください。アドレスバーが緑色になる場合もあります。







■ URLが”https://~”でもあっても、さらに安全性診断を実行



現在、もしネットショップやインターネットバンキング等の金銭に絡むサイトを利用しており、URLが”https://~”であっても、以下のGMOグローバルサインの安全性診断を実施すると安全かどうか分かります。

 SSL Server Test (Powered by Qualys SSL Labs)
 https://globalsign.ssllabs.com/



使い方は、簡単で、このサイトにアクセスして、①調べたいURLを入力 ②[Submit]をクリックすると診断がスタートし、しばらくたつと総合的な診断結果と、問題点の詳しい内容を知ることができます。


診断結果はA+ 、A……Fまでの8段階のグレードで表示され、「B以下」と診断された場合には、何らかの脆弱性(サイトの弱点)が見つかったことになります。

*8段階、私がサイトを調べた結果、安全性が高い順に ”A+、A、A-、B、C、D、E、F” となっているようです。


ネットショップやインターネットバンキング等の金銭に関わるサイトの場合、診断結果が「B以下」は利用しないほうが無難です。

なお、この診断は、「既存の」脆弱性について診断するもので、新しい脆弱性については、繰り返しチェックを行うことが必要です。

ちなみに、最近、情報流出が発覚した「Re:CENO公式オンラインショップ」の診断結果は「C」でした。明らかに安全性が低いサイトであることが分かりました。

なお、Amazonの診断結果は最高の「A+」でした、さすがですね。安心して利用できます。




■カード情報流出のサイトの診断結果は「C」→利用しないほうが良い

最近、Flavorが運営するインテリアのECサイト「Re:CENO公式オンラインショップ」が外部からの不正アクセスを受け、セキュリティコードを含むカード情報1万7085件が漏えいした可能性があることが分かりました。

 セキュリティコード含むカード情報1.7万件が流出か
  インテリアECサイトに不正アクセス | ネットショップ担当者フォーラム
 https://netshop.impress.co.jp/node/4047


このカード情報流出の「Re:CENO公式オンラインショップ」のサイトの診断結果は「C」ランクで、脆弱性(弱点)を持っていました。

具体的には、安全なSSL/TLSのバージョンである「TLS 1.2」を使っていません。このサイトは、利用しないほうが無難です。





■Amazonの診断結果は最高の「A+」→安心して利用できます。

私がいつも利用しているAmazonの診断結果も調べてみましたが、最高の「A+」という結果でした。さすが、Amazonです。これからも安心して利用できます。






■ 個人情報を入力するサイトの安全性の判断基準(まとめ)


ネットショップやインターネットバンキングなどの個人情報を入力するサイトの安全性の判断基準をまとめると以下になります。


 ①、②共に満足して初めて安全なサイトです



①基本中の基本は、URLが”https://~”(Sがついている)で、アドレスバーに”鍵マーク”がついていること

なお、インターネット・バンキングなどでは、SSLの安全性を更に強固にした「EV SSL証明書」が使われているかの確認も必要です。

この場合、URLが”https://”、”鍵マーク”に加え”企業名”がアドレスバーに表示され、アドレスバーが緑色になります。



②URLが”https://~”の場合に、使っている”SSL/TLS”という通信技術が安全かどうか確認すること 

 ・サイト証明書の暗号化技術に「SHA-2」を使っていること
 ・SSL/TLSの暗号通信プロトコルで「TLS 1.2」を使っていること



なお、②については、個人で判断するのは難しいので、上記で紹介した、GMOグローバルサインの下記サイトを利用ください。

 SSL Server Test (Powered by Qualys SSL Labs)
 https://globalsign.ssllabs.com/

診断結果はA+ 、A……Fまでの8段階のグレードで表示され、「B以下」と診断された場合には、何らかの脆弱性(サイトの弱点)が見つかったことになります。