Safari: 暗号化機能とセキュアコネクションを使用する

セキュアなコネクションを使用する場合
セキュアなコネクションを使用するかどうかの決定は、ユーザの利益を考慮して行なわれる場合が多いといえます。例として、商用 Web サイトに新たにアカウントを作成する場合を考えてみましょう。こういったケースでは通常、個人の住所や金融関連情報のやりとりが含まれているため、アカウ ントを作成する際にコネクションがセキュアな状態に移行することを見て取ることができるでしょう（セキュアなコネクションが確立されたかどうかを確認する 方法は後述します）。一般的には、取り扱いに注意を要する情報を要求したり表示したりする場合に、Web サイトはセキュアなコネクションに自動的に移行します。

またある時には、この決断はユーザに委ねられることもあります。その場合もっともよく使われる手法は、通常にログインする方法とともにセキュアにログイン するためのオプションを併せて提供するというものです。セキュアなログインが可能な場合は必ずそちらを選択します。セキュアなログインと通常のログインの 両方を提供している人気サイトの例としては、Yahoo や eBay、Amazon が挙げられます。機密性の高い情報を頻繁に授受するサイトでは、セキュアなログインのみを提供する傾向にあります。多数のサイトでは、128 ビット長のセキュアコネクションに対応していない旧式のブラウザでもアクセスできるように、通常方式のログイン手順も残されています。

ヒント：一般的には、セキュアではないフォームには機密性の高い情報を入力すべきではありません。法的に何ら問題のない組織がセキュアでないフォームで機密性の高い情報を要求している場合には、電話を使って連絡することも考慮してください。

ヒント：Web サイトにログインする際には、「スタンダード」や「SSL」という選択肢があるかどうかに注目してください。この場合、「スタンダード」はセキュアでない ログインを、また、「SSL」はセキュアなログイン（Secure Sockets Layer、インターネットの暗号化プロトコル）を指します。

セキュアログインはなぜ必要か？
セキュアなログインを選択することにより、第三者が容易にあなたの名前やパスワードを傍受することができなくなります。この点から、Web サイトに機密情報が含まれていない場合でもセキュアログインを行なうことは得策といえるでしょう。あなたのログイン情報を盗んだ第三者が、そのサイトであ なたになりすましたり、同じログイン情報を使って別のサイトに侵入したりということもあり得るのです。Web サイトにアクセスするのに少なくとも二つの異なるパスワードを用意することは、良い習慣といえましょう。つまり、一つはセキュアなサイト用、もう一つはセ キュアでは無いサイト用というようにです。すべてのサイトで同じパスワードを使っていると、セキュアでないサイトで傍受されたパスワードをセキュアなサイ トで悪用されてしまうことにもなりかねません。

ヒント：安全性の高くないパスワードは、セキュリティに精通した人に破られる可能性があるということを念頭に置いてください。 安全性の高いパスワードを選ぶ際の参考として、技術記事 106521：Mac OS X で安全性の高いパスワードを選択する方法 をご覧ください。

セキュアコネクションを認識する
セキュアコネクションが確立されていることを確認するには、二つの方法があります。一つめは、「Safari」のウインドウの右上のコーナーを確認する方法で、カギのアイコンが表示されていればセキュアコネクションが確立されています：




二つめの方法は、Web サイトのアドレスを確認する方法で、“http”ではなく“https”で始まる場合はセキュアコネクションが確立されています：




セキュアログインをした後でもセキュアでないページが表示されることがしばしばありますが、これがセキュリティ上のリスクに直結するということではありま せん。一般には、機密性の高い情報を含むページだけがセキュアに表示されます。例えば、クレジットカードの情報を編集するページはセキュアである必要があ りますが、製品情報を閲覧するページがセキュアである必要はありません。機密性の高い情報を表示したり要求したりするページにアクセスする時には必ず、カ ギのアイコンが表示されます。

ヒント：時として、信頼の置けるサイトでも最初はセキュアに表示されないことがあります。こういった場合、“セキュアサーバにサインインし てください“といったボタンがセキュアではないページにあるはずです。このボタンをクリックすると、セキュアコネクションが確立されます。サイトがどのよ うに動作するか確信が持てない場合は、ユーザ名とパスワードに“guest”と入力することで簡単なテストを行なうことができます。送信ボタンを押すこと によりコネクションの方式が切り替わるかどうかを確認します。

セキュアとはどういった意味か？
“セキュア”には二つの意味があります。一つめは、送信中のデータが暗号化されるため、第三者が容易に傍受できないということ。これは、ログイン情報やクレジットカード番号、住所などといった、取り扱いに注意を要する情報を保護するために使用されます。

二つめは、サードパーティ製の証明システムをベースにしているのでこの Web サイトはセキュアである、とサイトの運用者が主張しているということ。「Safari」はこの“認証”を、サイトのセキュリティ証明書を確認することによ り行ないます。この証明書は、認証機関（certificate authority、CA）と呼ばれる、信頼に値する第三者により許可（あるいは“署名”）されたものである必要があります。カギアイコンは、信用が確立 された場合にのみ表示されます。もし証明書が信頼できないとなると、Web サイトのアイデンティティが証明されなかった旨を示す、以下のようなメッセージが表示されます：




アイデンティティが証明されなかったサイトにアクセスし続けることを選択した場合、その信用は一回のセッション限りしか有効ではありません。「Safari」をいったん終了した後再度開くと、再度警告が表示されます。

高度なヒント：ユーザによっては、サイトの証明書に署名を行なった認証機関を知りたいこともあるでしょう。そのような場合は、ターミナルで curl コマンドを -v（verbose）オプション付きで実行することで、知ることができます。例えば、Apple Store の証明書をチェックしたい場合には、以下のコマンドを実行します：

# curl https://store.apple.com -v

偽装された“セキュア”サイトを避けるには
大事な情報を保護するには、セキュアコネクションを確認する方法を知ったというだけでは不十分で、偽装行為を回避する必要もあるのです。アイデンティティ を盗用する者たちは、信用のおけるサイトにアクセスしているとユーザに思いこませて、名前やパスワード、さらにはその他の情報を収集しようと企んでいるの です。ありがたいことに、以下に示す二つのシンプルなルールを遵守することで、たいていのトリックを回避することができるのです：

ルール 1：先に説明した“セキュア”表示以外は、一切信用しないこと

サイトによっては、偽装したカギアイコンやセキュリティを保証するようなしるしをページのテキスト中で示すことがあります。しかし、ページの中で示される 保証には全く意味がありません。カギアイコンが表示されアドレスが“https”で始まっていない限り、コネクションはセキュアではないのです。

ルール 2：電子メールに含まれているリンクをクリックしたら、そのサイトにはログインしないし情報の入力も行なわないこと

そうするよりも、ブラウザのウインドウを新たに開いて、Web サイトのアドレスをご自身で入力する方がよいでしょう。この場合、アドレスの自動入力機能は利用しないよう気をつけます。そのほかの方法としては、ブック マークの使用も挙げられます。いつもの通りにログインして、アカウントが更新されているか確認します。

このルールに従うことにより、信頼の置けるサイトからの「ログインしてアカウント情報の更新を行なってください」といったメールを偽装する様々な手法を避 けることができるのです。こういったメールは、悪用目的でユーザの情報を収集するための偽装サイトを、正規のサイトと信じ込ませようとするのです。経験豊 富なインターネットユーザやウェブマスターでなければ正規のメールと区別できないほどの偽装メールも時としてあるので、メッセージの出所に些かでも疑問が ある場合は、このルールに従うことが重要です。

偽装メールがどのような仕組みで動くにしても、その目的は、正当なサイトのアドレスを表示することで偽装サイトの実アドレスをごまかすことなのです。そのために使われる一般的なトリックを三つ示します：

• 混乱を招くようなアドレスをわざと使う
  
  フォームで
  
  http://cgi.apple.com.jl234.5j209.50k20.95h02.3a84.38.aa28@169.09.19.35/useraccount/verify=
  
  のようなアドレスを見たことがあるかもしれません。この URL はあたかも apple.com に接続するかのごとく見た人を混乱させますが、実際にはこのアドレスは IP アドレスが 169.09.19.35 のサーバを指しています。アットマーク (@) 以前に記述されているのは、当該サーバのユーザアカウント名なのです。
  
• 画像に付けられたリンク
  テキストリンクのように見えても実際は画像ファイル（テキストのスクリーンショット）であった、というようなケースに出くわすことが、時としてあるかもし れません。この場合、画像ファイルのリンクは偽装サイトに通じているのです。画像かどうかは、テキストがコピーできるかどうかで判断することができます。 電子メール中のアドレスを選択やコピーできなければ、それはテキストではないでしょう。
  
• 隠蔽されたリンク
  
  一見すると
  
  https://store.apple.com/
  
  のように全く正常なアドレスのように見えるにもかかわらず、HTML やメールに埋め込まれたスクリプトを利用すると、全く別の場所に接続させてしまうことが可能なのです。実際の接続先を知るには、電子メールのソースコード （メール自体は HTML やリッチテキスト (RTF) で記述されている）を確認するしかありません。このトリックは、電子メールに対して普通に持っている先入観につけ込んでいるのです。ほとんどの電子メール アプリケーションには、ウェブのアドレスをタイプしている最中に「実際のリンク」として表示する機能が備わっています。ウェブアドレスをリンクとして表示 するには、本来であれば HTML によるフォーマッティングが必要ですが、この場合は必要ありません。これに慣らされてしまったため、プレーンテキストによるリンク（アプリケーションの便 利な機能によりリンクとして表示される）と HTML のリンク（ソースコードに接続先が記述されている）の区別がつかなくなっているのです。端的に言えば、ウェブアドレスのリンクが画面に表示されているとお りの接続先にリンクしている必要などありません。ソースコードに別の接続先を記述することで、ユーザを混乱させることができるのです。「Safari」の ブラウザウインドウで表示されるアドレスが電子メールに表示されているアドレスと異なる場合、偽装が行なわれている可能性について検討してください。

他社の Web サイトに関する情報は情報提供のみの目的で提供されるものであり、その情報を推奨したり是認したりするものではありません。アップルコンピュータ社は、他 社の Web サイト上の情報や製品の選択、性能、または使用に関して責任を負いません。アップルコンピュータ社はこれらの情報をユーザの利便性のためにのみ提供しま す。他社の Web サイト上の情報については、アップルコンピュータ社はテストを行なっていませんし、正確性や信頼性に関する言及は行ないません。インターネット上にある情 報や製品を使用することは危険が伴いますが、アップルコンピュータ社はこの点において責任を負いません。他社の Web サイトの、アップルコンピュータ社とは別個の会社の管理するものであり、他社の Web サイトの内容に関しては、アップルコンピュータ社が管理できないことをご理解ください。