情報科学屋さんを目指す人のメモ

方法・手順・解説を書き残すブログ。私と同じことを繰り返さずに済むように。

SafariのURLのところに「安全ではありません」が出るようになったのはどうして?について

Safari (36) iOS (298) iOS 12 (55) iOS 12.2 (2) iPhone (1410)

最近突然、iPhone SafariのURLの隣に「安全ではありません」と表示されるようになるユーザーが増えています。

今まで何も表示されていなかったのに突然「安全ではありません」という注意が表示されるようになって、「サイトが乗っ取られているの?」「ウイルスに感染した?」など、見慣れない表示にびっくりしているユーザーもいます。

実はこの突然表示された「安全ではありません」表示には、iOSの最新のソフトウェアアップデートである「iOS12.2」へのアップデートが関連しています。

そこで今回は、今まで表示されていなかった「安全ではありません」が突然表示されるようになった原因と、今までとの違いについて紹介します。

「安全ではありません」表示

「最近表示されるようになった」というユーザーの声が多い「安全ではありません」表示とは、次のような表示のことです:

Safariのアドレスバーに表示されるURL(ドメイン名)のすぐ左隣に、「安全ではありません」という文字がグレーで表示されます(英語設定の場合は「Not Secure」)。

突然表示されるようになった理由

この表示が、今まで出てなかったページに表示されるようになって「このサイトに何かあったのかな?」と心配に思うユーザーが増えています

実は、3月末以降に突然この「安全ではありません」が表示されるようになったとの声が増えているのは、iOS12.2がリリースされたことが原因です。

iOS12.2アップデートの新機能

というのも、この「安全ではありません」表示は、iOSの最新版「iOS12.2」の新機能だからです。

Appleが提供しているiOS12.2のアップデート情報では、Safariのアップデートについて次の通り説明されています:

暗号化されていないWebページを読み込んだときに警告を表示。

引用元

したがって、最近突然「安全ではありません」が表示されるようになったときは、「最近ソフトウェアアップデートをしていないか」思い出してみてください

ここが今回の「安全ではありません」表示について、重要なポイントの一つです。新機能なので、いままで表示されていなかったサイトに突然表示された、というのはごく自然、というわけです。

iOS12.1以前との違い

実際、iOS12.2にアップデートする前に同じサイトにアクセスしたときは、何も表示されませんでした。

この通り、今回は「突然安全ではなくなった」のではなく、「『安全』の基準が厳しくなった」といえます(※もし今後、iOS12.2で見ていて何も問題がなかったサイトに突然「安全ではありません」が表示されるようになった場合は、本当にウェブサイトに何かが起こった可能性があります)

「http://」で始まるサイトに常に表示されるようになった

どのように厳しくなったのかというと、iOS12.2より前は、URLが「http://」で始まるサイトで、なおかつ、パスワードや個人情報の入力を開始した場合にのみ、警告(Webサイトは安全ではありません)が表示されていました(「なおかつ、」以降がポイント)。

「http://」で始まるサイトは、ウェブサイトとの通信が暗号化されていないため、通信内容が盗み見られてしまったり、偽物とすり替えられてしまう恐れがあります。そのため、パスワードや個人情報の入力時は、目立つ警告を出すようにしていたわけです。

それがiOS12.2から、「http://」で始まるサイト(正しく暗号化されていないサイト)であれば、パスワードや個人情報の入力中かどうかにかかわらず、ただ閲覧しているだけであっても、始めから警告(安全ではありません)が表示されるようになったのです。

ここ数年特に、「どんなサイトであったとしても、常に暗号化された通信をすべきだよね」という流れが顕著になっており、iPhone Safariに限らず、暗号化されていない通信(https://のサイト)に対する警告表示が強化されており、遂にiOS12.2より、「常時警告」にまでなったわけです。

なお、iOS12.2でも、パスワード入力フォームなどを利用しようとすると、「安全ではありません」の表示が灰色から赤色表示に切り替わり、より気を付けるように主張してきます。

「安全ではありません」が表示されたらどうすれば良いの?

このような少しややこしい背景があるため、「安全ではありません」が表示されたらどうすれば良いの?というのは、少し難しい質問です。

まず赤色の「安全ではありません」が表示された場合は、パスワードや個人情報の入力中であると思われるため、盗み取られる危険を考慮して、そのサイトの利用を避けることをおすすめします。どうしてもログインしたい、というような場合には、アドレスバーをタップして、URLの冒頭に「https://」と入力して確定してみてください。

というのも、そのサイトが「https://」版のページを用意しているにもかかわらず何らかの理由で「http://」のページを開いてしまっているだけ、という場合があるからです。ただこの方法は、あくまで「https://」に対応済みのサイトでしか効果のない対策なので、試してみてアクセスできなかったり元に戻されてしまう場合は、非対応であるためあきらめて、サイト(会員サイト)の運営者に問い合わせる等してみてください。

問題は、灰色の「安全ではありません」が表示される、「今まで表示されていなかったページに表示されるようになった」ケースです。

こちらについては、本人の「どこまでセキュリティを重視するか、どこまで利便性を優先するか」に依存する部分が大きく、一概に「対処法はこれ」と確定しにくいケースであるかと思います。

そうであはあるものの、まずパスワードや個人情報に関するやりとり、もしくは、その表示で大きく行動を変えるような重要な情報(お金に関することなど)のやり取りをしているのであれば、やはり利用を避けるのがおすすめです(赤い警告の場合と似た対処)。

一方、特に重要なやり取りをしていない、例えば日常のニュースを閲覧しているだけ、という場合には、今まで通り閲覧して、急にそのサイトを閲覧中止する必要はないかと思われます。というのも、iOS12.2にアップデートしてない利用者にはその「安全ではありません」が現時点で表示されていない状態が続いており、それに加えて、現実まだ「http://」のままのサイトが少なくないからです(大手ニュースサイトであっても)。

ただし、「セキュリティには敏感に行動したい」というのであれば、「安全ではありません」と表示されたとたんに引き返す(前のページに戻る)というポリシーも、間違っているわけではありません。しばらくそのように行動してみて、「安全ではありませんと表示される際とが多すぎて困る...」となるかどうか、様子を見てみてください。特に困ることが多くなければ、その方針でよいと思います。

重要な注意点は、「安全ではありません」が表示されなければ安全!ではないこと

ただ実はこの「安全ではありません」表示には大きな落とし穴があります。

それは、「安全ではありません」が表示されておらず、カギマークがあるサイトであっても、安全であることが保証されているわけではないからです(実はカギマークにも種類があるのですが、ここではさらに話がややこしくなるので一旦割愛します)。

あくまで「安全ではありません」と表示されないサイトは、「暗号化通信を行っている」というだけです。

これはどういうことかというと、URLに表示される「○○○○.com(ドメイン名)」の本物の持ち主が設置したサーバーと暗号化通信をしているよ、ということしか示さないからです。

つまり、「○○○○.com」の持ち主が悪意のある人、例えば詐欺業者であれば、「詐欺業者とちゃんと暗号化通信しているよ」ということにしかならず、そこがもし、偽物のログインページだったとしたら、そこに入力したパスワードや個人情報、クレジットカード情報等が盗まれてしまう点は変わらないからです。この「カギマーク」を見て、「しっかりしてそう」と思うかもしれませんが、カギマーク自体の取得は0円から行うことができますし、役所で運営者情報の登録が必須で審査がある、のような手続きが必須のマークではありません。

したがって、「安全ではありません」と表示されている場合に気を付ける必要があることに変わりはありませんが、「安全ではありません」と表示されていない、カギマーク(南京錠マーク)が表示されている状態であっても、それはそれで気を付ける必要がある、のです(個人情報やログイン情報、支払い情報を入力する場合は特に)。

「安全ではありません」のような警告表示が増える副作用として、このような部分に「誤解」してしまうユーザーもいるかと思います。パスワードや個人情報、支払い情報を入力する際は、そのウェブサイトが本物かどうか、よく確認してから入力するようにしてください。なかなか正確に見分けるのは難しいのですが、ひとまず「ドメイン名(○○○○.comのところ)が不審な文字列になってしないか」であったり、「電子メールや掲示板、SNSなどから誘導されたページではないか(偽物に誘導されている可能性が高まります)」などに注意してください。銀行などの場合であれば、これが正しいURLです、ということが事前に告知されていることもあるので、それをアドレスバーに手入力することも有効です。また、どうしても本物か偽物か、怪しくてよく分からない、という場合は、問い合わせを行ってみたり、身近な人に相談することで、偽サイトに入力してしまうリスクをより小さくすることが可能です。慌てて入力したり、急いで入力してしまうようなとき、特に注意が必要なので、気を付けるようにしてください。

関連:「安全ではありません」を消すには

関連:iOS12.1.4以前の場合

コメント(0)

新しいコメントを投稿