このサイトで買うべきでしょうか?ウェブサイトが安全かどうかを確認する方法

最終更新日:2020年12月

プレゼントを贈る季節が近づくと、多くの人がオンラインでホリデーショッピングをするようになります。実際、アメリカ人は2020年のブラックフライデーだけで103億ドル、サイバーマンデーでは127億ドルを消費すると予測されています。セールスフォース社の試算によると、11月最終週のオンラインショッピングラッシュであるサイバーウィークに、全世界の消費者は約260億ドルを費やします。

このようなオンラインショッピングでは、電話番号、自宅の住所、クレジットカードなど、多くの個人情報がインターネット上を飛び交います。このような個人情報は、今後数か月間の大量トラフィックとオンライン販売の増加に備えて準備を進めているサイバー犯罪者にとって、お金に変わります。

お客様のデータを守るために

Eコマースでの取引は、ウェブサイトが安全でない場合、データが盗難されるリスクがあります。さらに、オンラインショッピングのお客様は、フィッシングサイトや詐欺サイト、中間者攻撃、スパム/フィッシングメール、ポップアップ、ソーシャルエンジニアリング攻撃、詐欺的な慈善団体や活動などの詐欺に遭いやすいと言われています。

あなたがオンライン小売業者に情報を提供したら、その情報を保護するのは彼らの仕事です。しかし、誰をどうやって信用すればいいのでしょうか?そのサイトが合法的なものかどうか、自分のデータを提供すべきかどうかをどうやって見分ければいいのでしょうか?

ウェブサイトが安全/安心かどうかを知る方法

ウェブサイトに情報を提供する前に、そのウェブサイトが安全であることを確認する必要があります。安全なウェブサイトでは、お客様の情報がお客様のコンピュータから会社のサーバに転送される間、ハッカーがデータを閲覧したり盗み見たりできないように、転送中のデータを暗号化します。ただし安全なサイトだからといって、安心できるわけではないので注意が必要です。

安心できるウェブサイトとは、安全であると同時に、正しい企業サイトであることが合理的に確認されたものです(つまり、なりすましサイトでは無い)。サイトの暗号化だけでなく、そのウェブサイトが本物であることを示す信頼性の指標も確認する必要があります。

まず、サイトが安全かどうかを見分けるための簡単なヒントを紹介し、次にその会社が本物かどうかを見分ける方法を紹介しましょう。両方をチェックすることで、そのサイトが安心して購入できるサイトかどうかを知ることができます。

TLS証明書の確認

ウェブサイトのURL を見てください。「http」ではなく「https」で始まる場合、そのサイトがTLS/SSL証明書を使用して保護されていることを意味します(httpsのsはsecureを意味します)。TLS証明書は、お客様のデータがブラウザからウェブサイトのサーバーに渡されるすべてのデータを保護します。TLS証明書を取得するには、企業は認証のプロセスを経る必要があります。

しかし、認証にはいくつかのレベルがあり、その中には簡単にクリアできるものとそうでないものがあります。最も低いレベルの認証であるドメイン認証 (DV)は、ドメインの所有権を認証するだけで、証明書を要求する組織の正当性は認証しません。つまり、あなたが「amaz0n.com」というドメインを購入し、そのドメインの証明書を要求した場合、あなたはそのドメインを所有しているので、証明書を受け取ることができるのです。また、ブラウザのアドレスバーには、TLSによる暗号化で保護されていることを示す小さな鍵マークが表示されます。一般的なブラウザでどのように見えるか、以下の画像をご覧ください。ただし、鍵マークはサイトが暗号化されているかどうかを示すだけなので、それ以外の信頼性の高い指標を見る必要があることに注意してください。

最も高いレベルのEV認証(EV)は、最も安全で広範囲に認証を行います。EV認証では、証明書を取得しようとする企業は、その身元と企業としての正当性を証明しなければなりません。サイトにEV証明書があるかどうかは、アドレスバーを見ればわかります。EV証明書の情報は、通常、アドレスバーの鍵マークをクリックすることでアクセスできます。会社名や所在地など、鍵マーク以外の情報にアクセスする方法は、別のブログで紹介しています。

以下の例は、暗号化されている場合とされていない場合でサイトがどのように見えるかを示しています。ブラウザで鍵マークをクリックすると、より詳細な情報を見ることができます。サイトにEV証明書があり、鍵マークをクリックすると、「証明書 (有効)」の下に組織名が表示されます。

Firefoxでの表示

Firefoxでの表示

Chromeでの表示

Chromeでの表示

Safariでの表示

Safariでの表示

ドメインを確認する

サイバー攻撃者は、既存のウェブサイトを真似たウェブサイトを作成し、人々を騙してフィッシングサイトで何かを購入させたり、ログインさせたりすることがあります。これらのサイトは多くの場合、既存のウェブサイトと全く同じように見えます。

例えば、サイバー攻撃者が「amaz0n.com」というドメインを購入し、その場所にamazon.comのウェブサイトとそっくりなウェブサイトを立ち上げたとしましょう。そのウェブサイトにDV証明書を購入し、(フィッシングメールなどで)ユーザーを騙して、フィッシングサイトで商品を購入させたり、アカウントにログインさせようとします。

このような攻撃を避けるために、常に自分がいるサイトのドメインを確認するようにしましょう。銀行やその他のオンライン業者からメールを受け取っても、メール内のリンクをクリックしないでください。ブラウザにドメインを入力して、目的のサイトに接続していることを確認してください。

その会社が本物であることを示すサインを探す

その会社が本物かどうかを見極めるために役立つ、いくつかのサインがあります。

実在の住所と電話番号: 住所と電話番号が記載されていれば、実在する企業である可能性が高くなります。信頼できる企業は、問題があった場合に連絡できるように自社の情報を掲載しています。

返品の規定: 信頼できるサイトでは、配送規定と同様に返品規定を掲載しているはずです。これらの規定をサイト上で見つけられない場合は、おそらくその会社から購入したいと思わないでしょう。

信じられないような低価格: 掘り出し物を見つけたときは嬉しいものですが、本来の価格よりもはるかに低い価格で商品を提供しているサイトには注意が必要です。模造品や盗品を手に入れたり、何も手に入らなかったりする可能性があります。

プライバシー・ステートメント: 信頼できるサイトでは、お客様の情報をどのように保護しているか、また、お客様の情報を第三者に提供しているかどうかを教えてくれるはずです。サイトにプライバシーステートメントがあるかどうかを確認し、購入する前にそれを読むべきです。

安全を確保して下さい

オンラインショッピングは非常に便利で、ホリデーシーズンの贈り物リストを迅速かつ簡単に仕上げることができます。しかし、オンライン詐欺やデータ盗難の被害に遭うと、せっかくのホリデーが台無しになってしまいます。年末年始は、以下のヒントを参考にして、オンラインでの安全確保と情報の保護に努めてください。

Posted in 101, SSL, セキュリティ, ベストプラクティス