インターネット通販などを利用するとき、暗号化通信が行われているかどうかを確認する人は多いだろう。しかし、暗号化通信が行われているということと、その業者(通信先)が信頼できるかどうかということは、まったく別の問題である。すなわち暗号化通信を行う悪質業者は存在しうるのだ。今回は一般の方にもわかりやすく、そのしくみを解説していく。
INDEX
- 身に覚えのないカード利用履歴
- SSL はもう古い
- 暗号化トンネルを抜けるとそこは闇だった
- 何を根拠に信頼するのか
- 「安物」も「有名どころ」も暗号化技術は同レベル
- カード情報を渡さずにカード決済する方法
身に覚えのないカード利用履歴
先日、筆者の友人の娘さんがクレジットカードの不正利用被害に遭った。
使っているクレジットカード会社から、高額利用の実績に関して分割払いやリボ払いなどにも変更できるという「ご案内」が届いたことから不正使用に気づいたそうである(購入してもいないディズニーランドの入場券複数枚の購入実績が届いたらしい)。
すぐに対応したため金銭的被害はまぬかれたようだが、かなりしんどい思いをしたという。
クレジットカード会社ではカード会員の利用動向をチェックしており、いつもとは異なる地域でカードが使用されたり、消費行動としていつもとは違うパターンの買い物があったりすると、いわば「要チェック・フラグ」が立つ(もちろん生身の人間が一生懸命に監視、チェックしているわけではない)。
これは利用限度額などの問題ではなく、その会員のカード利用傾向とは異なる使われ方があった場合に、「はたしてこれは会員本人による正常なカード利用なのだろうか?」とカード会社が疑問を持つという意味である。
娘さんのところにカード会社から届いた(いつもは来ないらしい)「ご案内」は、もしかしたら不正利用確認の意味もあったのかもしれない。
筆者の友人(父親)が娘さんに聞いてみると、「この夏に激安家具を販売するサイトを利用したことが原因ではないか」という話だったらしい。
そしてこの話を友人から聴いているうちに筆者が感じたのは、「暗号化通信しているサイトなら安心」といった認識を多くの人が持っているのかもしれない、ということである。
SSL はもう古い
ちょっと詳しい人なら、そのウェブサイト(ホームページ)のアドレスの始まりが「http」ではなく「https」であれば、暗号化通信が行われているということを知っているはずだ。
これは「https」という手順で通信をしますよという、いわばコンピュータ間での目印なのだが、この手順を実行するための技術がSSL(Secure Sockets Layer)である。ただし正確に言えばSSLはすでに古い技術であり、もし未だにそんなものを使用しているウェブサイトがあったら高確率でヤバイ。
令和3年の現在、SSLではなくTLS1.2、1.3という技術を使用しているサイトでなければ、真っ当な暗号化通信は行われていない、すなわちヤバイ業者だと断言できる。
しかしそんな技術用語を言われても、わけがわからないのが普通だ。
そこで我々がふだん利用しているウェブブラウザ(ホームページを表示するためのPC向けアプリケーション、またはスマホアプリ)が自動的にチェックをするようになっている。
たとえば米グーグル社が提供するウェブブラウザでは、通常の「http」通信をするサイトを表示すると「保護されていない通信」と表示するようになっている。また米マイクロソフト社が提供するものでは「セキュリティ保護なし」と表示される。
これらの例はすなわち「いつでも暗号化通信となっているサイトだけがマトモなのである」という考え方であり、これを「常時SSL」などと呼ぶ人もいる(繰り返すが厳密にはSSLはすでに陳腐化した技術)。
しかし個人情報を入力する場合ならともかく、ただホームページを見るだけといった利用ならなにも暗号化通信でなくとも問題ないわけで、そんな表示を出すのは「やり過ぎ」ではないかといった批判もある。
しかし世の中の流れ(というかGAFA+Mの野望?)としては、「常時SSL」になっていかざるを得ないようだ。つまり常時暗号化通信ができないウェブサイトは、今後インターネットから締め出されていくだろうということである。
実際、米グーグル社などでは、暗号化通信に対応していないウェブサイトは今後、(初期設定で)表示すらされないようにしていく計画であることを表明している。
暗号化トンネルを抜けるとそこは闇だった
さて、常時暗号化通信という考え方そのものは利用者、消費者にとっては歓迎すべきことだといえる。ただし忘れてはならないことがある。それは、
「暗号化されているのは通信経路だけである」
ということだ。
すなわち業者側に渡った秘密情報は、相手側のコンピューターで「丸裸」の状態で保存される可能性(流出・流用・盗難の可能性)があるということなのだ。つまり、どんなに高度な技術で通信経路を守ったところで、相手先でどう扱われるかは別問題であることを忘れてはならない。
クレジットカードの場合で言えば、会員の姓名、カード番号、有効期限の「3点セット」が手に入れば、そのまま流用してネット通販などに利用可能だ。カード裏面などにある「セキュリティコード」を入力させるサイトもあるが、3点セットが4点セットになるだけの話でしかない。
そして暗号化通信を行うためのウェブサイト開設は、事実上誰でも可能である。
つまり「暗号化通信しているからこの業者は安全・安心」という考え方は重大な誤りなのだ。
通販サイトなどをはじめとしたウェブサイト(サーバー側)と、我々が使うウェブブラウザが暗号化通信を行うためには、あらかじめサーバー側のほうで「サーバー証明書」なるものを取得しておく必要がある。もちろん紙の証明書ではなくデジタル情報である。このデジタル情報をサーバーコンピュータに設定することにくわえ、第三者である証明機関の認証も得る必要がある。つまりサーバー運営者側のほうで、一定の「ややこしい」手続きを踏まなければならない。
しかし現実には(ずいぶん前から)、こういった手続きを誰でも手軽にできるようになっている。
具体的に言えば、レンタルサーバーをそれこそネット通販で契約し「SSLオプション」の項目にチェックを入れるだけである。つまりこれを読んでいるあなたも、暗号化通信可能なウェブサイトを開設して、「これなら安心」と思い込んでいる人々のカード情報をコレクションすることは可能なのだ。
もちろん悪意をもってそんなことをしたところで、通信履歴やレンタルサーバー業者との契約情報などから時間の問題で検挙されるだろう。しかし短期的には金銭的被害を発生させることは出来るし、集めたカード情報を流用・転売することも可能だ。
「暗号化通信になっているから安心」というのは、あくまでも通信経路が暗号化されていて安心ということでしかなく、必ずしも通信している相手(すなわちウェブサイトの設置・運営者)の社会的信頼性を示しているわけではない、ということを理解しておきたい。
何を根拠に信頼するのか
では、暗号化通信しているウェブサイト(の設置・運営者)の社会的信頼性をどうチェックすればよいのか。そこで意味を持ってくるのが第三者である「証明機関」である。
いろんなウェブサイトを見ていると、「日本ベリサイン」だとか「SECOMトラストシステム」などといった表示を見かけたことがないだろうか。それこそが証明機関であり、「このウェブサイトはちゃんとした者が運営してますよ」と、ベリサイン社やSECOMが主張している、という意味である。
もちろんSECOMの画像を貼り付けるだけなら誰でもできてしまう。そこでアドレス欄(URL欄)の端に表示されている南京錠のアイコンをクリックして、その暗号化通信をしているウェブサイトが、誰によって(どの証明機関によって)安全だと主張・証明されているのかをチェックできるようになっている。
Google Chrome(グーグル・クローム)の場合は、「南京錠のアイコン」→「この接続は保護されています」→「証明書は有効です」と進めば、証明書の内容を確認することが出来る。
Microsoft Edge(エッジ)の場合は、「南京錠のアイコン」→「接続がセキュリティで保護されています」→右上の「証明書アイコン」と進む。
◆いずれの手順もパソコン用ウェブブラウザを想定。スマホアプリ版の場合もほぼ同様です。
ところで鋭い方なら「しかし、その証明機関ってのは信頼できるのか?」と疑問を持つはずである。そのとおりである。じつは証明機関を名乗る会社や団体・組織は、世界中に多数存在する。ただこれは証明機関というものが、いわば「信頼の連鎖」で作られているがゆえでもある。
例えばあなたが信頼している友人が「〇〇さんは信頼できるよ」と言っていれば、あなたは○○さんを良く知らなくとも信頼できる人と考える、という原理である。簡単に言えばこれを応用しているのが現在の暗号化通信を支えているPKI (Public Key Infrastructure/公開鍵基盤)というしくみである。
ここで今いちど、さきほどの南京錠のアイコンから辿って表示できる証明書を確認してみよう。(パソコン用ウェブブラウザで)「証明のパス」というタブをクリックすると、たいてい複数の階層構造が表示されるはずだ。上段の証明機関は、「すぐ下段の証明機関は信頼できますよ」と主張しているのである。信頼を受けた証明機関は、さらにその下の証明機関の信頼性を主張している。こういった信頼の連鎖構造があるため証明機関の数自体はかなり多くなるわけだ(詳述は避けるが、最上位の証明機関は「ルート証明機関」または「ルートCA」と呼ばれ、より厳格な審査や情報公開が行われている)。
「安物」も「有名どころ」も暗号化技術は同レベル
さて、「証明機関や証明書にもピンからキリまである」という話に入っていく。
ウェブサイトを設置・運営する者(会社や個人など)が証明書を得ようとする場合、証明機関に対して①証明できるものを提示する、②毎年証明料を払い続ける、ということをしなければならない。つまり、「審査とカネ」である。
じつは、日本ベリサインやSECOMのような「有名どころ」の証明も、なんだか聞いたこともないような証明機関の証明も、暗号化通信の技術レベルはまったく同じである。では何が違うのか。安い業者(証明機関)ならば年間証明料は数百円なのに、有名どころは数十万円するところだってある。繰り返すが暗号化の技術レベルは同じであるにもかかわらずだ。
これはひとえに「審査の厳格さ」である。
高額な証明書を得る場合、たとえば法人登記書の写し等、公的証明書類を何種類も提出し、証明機関の担当者による電話調査、実際の訪問調査などが徹底して行われる。個人情報保護に関する組織的な取り組みをはじめ各種セキュリティ認証の取得、技術的な理解や対応が出来る人物が組織内に常時存在しているかなどもきびしく審査されるだろう。
もちろん高額な証明料を毎年支払い続ける必要がある。万一支払えなくなれば、証明書は無効(有効期限切れ)となり、ウェブサイトを訪問する人々に対して「このサイトは危険です」といった表示が出てしまうことになり、信頼の失墜につながる(セキュリティソフトが機能して通信を遮断する場合も考えられる)。
ところが数百円の証明書は、メールアドレスの存在確認(送信メールに対する返信確認)程度しか行われない。どういう人物、あるいは集団なのかはまったく調査されないのである(ただ厳密に言えば、レンタルサーバーなどの契約をベースにしている場合は一定の個人情報や支払い能力はレンタルサーバー会社が確認していることにはなる)。
高額な証明書を発行する証明機関はそのブランドイメージも重要になってくるから、お安いタイプの、つまり簡易審査の証明書発行サービスは(原理的には出来ても)行わない。
数年前までは、サイト運営者が「ウチは厳格な審査を通過した証明書を使用している」と主張するためのEV証明書などというものがあり、対応したウェブブラウザで表示するとアドレスバーが緑色に変わるなどと言った仕掛けが流行ったこともある。
カード情報を渡さずにカード決済する方法
暗号化通信しているからといって、そのウェブサイトつまり業者が信頼できるとは限らないということはご理解いただけたと思う。しかし信頼性を確認するなんてことは正直面倒くさい。
そこで考えられたのが、「相手にカード情報を渡さずにカード決済する」仕組みである。これはどういうことか。
ネット通販などを利用する際、ふつうなら販売業者のウェブサーバーと購入者のコンピューター(スマホを含む)が暗号化通信を確立してカード情報を業者側に渡している。しかしこの二者にくわえてカード会社も連携させ、三者間通信(取引)を行うのである。
具体的にはこうだ。
- 購入者は通販サイトなどでクレジットカード払いを指定する
- いったん、通信の接続先がクレジットカード会社へと(自動的に)切り替わる
- カード情報を入力する
- 通信の接続先がもとどおり通販サイトへ戻り、めでたく売買契約が完了する
このとき、カード情報は業者サイトへは渡されていない。それでは業者はどうして販売を約束することが出来るのか。
じつはカード会社から販売業者(のコンピューター)に対して、①この取引について提示されているクレジットカードは有効である、②利用限度額内である、という情報だけが渡されているからだ。
販売業者にしてみれば、のちほどカード会社が金を振り込んでくれるという約束さえあれば「取りっぱぐれ」は無いわけで、なにもカード情報を管理する手間やリスクを取る必要はない。こうして販売業者にカード情報が渡ることなく取引が成立するのである。
こういったしくみは有名なカード会社ならどこでも採用しているが、カード会員が持っているカードが最新のタイプに対応していなければならないし、販売業者のサイトも対応していなければならない。そして会員自身がカード会社の「専用サイト」へアカウント登録しておく必要がある。
専用サイトとは、たとえばJCBの場合なら「My JCB」、VISAなら「V-Pass」というサイトである。
どちらも専用サイトではカード利用履歴の確認や、支払方法の変更、ポイント管理などはもちろん、様々な機能・サービスを利用できる。そしてここで登録しておいたパスワードや合い言葉を、既述の三者間通信決済時に利用することにより取引の信頼性を高めることになるのだ。
街中のリアル店舗での対面販売であれば、①有効なクレジットカードを持っていること、②そのカードの4ケタの暗証番号を入力できること、の二つが揃えば信頼できると判断される。しかし通信ネットワークを介した取引で信頼性を確保するには、それなりのしくみと、それへの対応が必要となってくる。
なお、この分野の技術的な理解を深めたい方は「Secure Electronic Transaction」とか「3D Secure」などのキーワードで検索してみていただければと思う。「3D」は三次元ということではなく3つのドメインを意味している。
さいごに
最後にここまでの話をひっくり返すようだが、3D Secureのような仕組みを採用している通販サイトやサービス提供サイトは少ない。なぜなら決済手数料その他のコストを販売業者が負担しなければならないからだ。
カード決済にまつわる手数料などを購入者(カード会員)から取ることは禁止事項だから、もしこのような仕組みを採用するならば、一定以上の体力のある業者でない限り、結局は販売価格に反映せざるを得なくなる。
冒頭にふれた「激安家具サイト」は、当然セキュリティ的な配慮(コスト負担)などできるわけはないだろう。客から送信されてきたカード情報はエクセルにでも記録して、家庭向けパソコンに保存しておく程度かもしれない。たとえ仕事にまじめな業者であったとしてもパソコンのそばにパスワードが貼り付けてあったり、コンピューターウィルスに感染したり、場合によってはパソコンそのものが盗難に遭ったりする場合も考えられる。
商売には熱心であっても、情報セキュリティにはまったく関心も知識もない業者はごまんと存在する。
けっきょく便利・安全・安心を得るためにはそれなりのコストがかかる、と言うことになるのかもしれない。逆にいえば、「激安」といったようなものは、ある程度のリスクを承知で前へ踏み出そうとすることなのかもしれない。
