クレジットカード情報を守ってくれる「ssl」とは?HTTP方式との見分け方や決済時の注意点
「ネット通販でカード情報を入力するのは安全?」そんな不安を感じたことはありませんか?
ネット通販サイトなどでクレジットカードの情報を入力することがありますが、これって安全性は担保されているのでしょうか?
実は、これらのネット上でやり取りされる重要な情報は「SSL(および後継のTLS)」によって守られているのです。
本記事では、私たちのクレジットカード情報を守ってくれるSSL/TLSの仕組みや、安全なサイトの見分け方について詳しく解説していきます。
どのような仕組みで守られているのか、SSLが導入されているのかを確認する方法はあるのかなど、役立つ情報が盛りだくさんなのでぜひ最後まで読んでみてください。
クレジットカード決済の基本!SSL/TLSとは何か?
「SSL(Secure Sockets Layer)とその後継規格であるTLS(Transport Layer Security)」は、ネット通販サイトなどオンライン上でクレジットカード情報を入力して決済に利用するときに、セキュリティ上必要不可欠な通信方式です。
近年ではクレジットカード情報を扱うサイトのほとんどで、SSL/TLSが導入されています。
しかし、個人運営の古いサイトや違法サイトなどでは導入されていないケースもあるので、これまで何も気にせずクレジットカード情報を入力していたという方も、念のためSSLが導入されているのかをチェックする癖をつけて、身の安全を守っていく必要があります。
もしSSLが導入されていないページでクレジットカード情報を入力してしまうと、第三者から個人情報を抜き取られてしまうという恐ろしいリスクがあります。最悪の場合その情報が、悪用されてしまうかもしれません。
また、現在私たちが利用できるすべてのデバイスでsslが導入されているページが利用できるとは限らないので注意しましょう。
なぜならSSL導入ページを利用するには、SSLに対応したブラウザが必要だからです。
基準としては、Google ChromeやSafari、Microsoft Edgeなど、現在主流のブラウザであれば標準で対応しています。
SSLとは?現在は後継規格の「TLS」が主流
そもそもSSLとは「Secure Sockets Layer」の略で、1994年に開発された通信暗号化技術です。しかし、脆弱性が発見されたため、現在ではその後継規格である「TLS(Transport Layer Security)」が主流となっています。
SSL/TLSが導入されているページでは、入力されたクレジットカード情報などが暗号化されることで第三者による不正利用を防ぐことが可能です。
一般的に「SSL」と呼ばれているものも、実際にはこのTLS(現在はTLS 1.2以上が標準)を指している場合がほとんどです。
また、Webページにはもう1つ、HTTP(Hyper Text Protocol)という通信方式が存在します。しかしHTTPページには情報を暗号化するという仕組みがないため、不正利用を防ぐことができないのです。
このようなHTTPの欠点を補うために誕生したのがsslです。
SSLの誕生によって、クレジットカード情報などの個人情報が入力されることのないページではHTTPの方式がとられ、暗号化する必要があるページではsslが導入されるようになりました。
SSLが導入されていないページでクレジットカード情報を入力することは、その情報を全世界に公開しているようなものなので、注意しましょう。
なぜ必要?常時SSL(TLS)化がサイトの安全を守る
かつては決済ページなど一部のページのみ暗号化されていましたが、現在はWebサイト全体を暗号化する「常時SSL/TLS化」が標準です。
これにより、どのページを見ていても通信が保護され、より安全にサイトを利用できるようになっています。
安全にクレジットカード決済!暗号化の仕組み
上記でも触れましたが、SSLでは入力されたクレジットカード情報などの個人情報が暗号化されます。この暗号化は、下記のような手順でおこなわれます。
- 利用者がSSl/TLS対応ページにアクセスする
- ページのサーバからブラウザに「SSlサーバ証明書」と「公開鍵(誰でも使える南京錠のようなもの)」のデータが送られる
- 利用者のブラウザがSSLサーバ証明書の電子証明書を確認する
- 利用者がページで入力したデータを公開鍵で暗号化してサーバに送る
- サーバは受信したデータを秘密鍵(サーバーだけが持つ特別な鍵)で復元する
まずSSLサーバ証明書とは、SSLが導入されているページURL付近にある鍵マークをクリックすると見ることができる証明書のことです。SSLが導入されていることを証明する認証局が発行します。
そして、この証明書発行と同時に生成されるのが公開鍵です。公開鍵とは、データを暗号化するための鍵のことをいい、だれでも利用することができます。
クレジットカード情報などの個人情報を入力した利用者のブラウザが公開鍵を受け取り、暗号化してサーバに送るという流れです。
そして、公開鍵によって暗号化されたデータを復元できるのが秘密鍵ということになります。こちらも証明書発行と同時に生成される鍵なのですが、常にサーバ上に保管されているものです。
公開鍵で暗号化されたデータがサーバに届くと、秘密鍵でデータを復元(解読)してクレジットカード情報などの個人情報を受け取ることができます。SSLにおける暗号化の仕組みについて、理解することができたでしょうか?
安全なサイトか一瞬で判別!SSL/TLS導入サイトの見分け方
Webページで導入されている通信方式がSSLなのかHTTPなのかということは、私たちでも簡単に見分けることができます。まず注目するべきなのが、そのページのURLです。
SSLが導入されているページのURLは「https://」から始まる一方で、導入されていない場合は「http://」から始まります。つまり「S」(=secureのs)があるかどうかに違いがあります。
ページのURLは基本的にページの上部に表示されているので、ぜひ1度チェックしてみてくださいね。
また、上記でも触れましたが、そのURL付近に鍵マークが表示され、鍵マークをクリックすると「この接続は保護されています」と表示されることもありますよ。
こういったページでは情報が暗号化されてやり取りされるため、第三者に筒抜けになることはありません。見分け方を覚えて、安心して利用しましょう。
SSL/TLS対応でも油断禁物!カード情報を守る3つの注意点
SSLはクレジットカード情報などの個人情報を守ってくれる重要な通信方式なのですが、100%安全かと聞かれるとそういうわけではありません。
ここでは、sslが導入されているページを利用してクレジットカード決済をおこなうときの注意点について、解説していきます。
フリーWi-Fi経由でのカード情報入力は避ける
公共の場所や飲食店、ショッピングモールなどで利用できる大変便利なフリーWi-Fi。よく利用するという方もいらっしゃるかと思いますが、実は情報漏えいリスクが高いということをご存知でしたか?
知名度の高い大手企業が提供していることもありますが、実はほとんどの場合セキュリティ面が脆く、SSLのように情報が暗号化されていないのです。
また、不特定多数の方が同じWi-Fiを利用することになるので、第三者による覗き見リスクを避けることは難しくなってしまいます。
もしフリーWi-Fiを利用するときは、SSLが導入されているページを中心に利用することはもちろんですが、クレジットカード情報を入力するときはフリーWi-Fiの接続自体を切っておいた方が安全性が高まるのでおすすめです。
また、SNSやゲームなどでアプリを利用する場合、SSLが導入されているかどうかをWebページのように利用者が見分けることはできなくなっています。
そのため、アプリ内でクレジットカード情報を入力するといった場合もフリーWi-Fiを切る(モバイルデータ通信に切り替える)などして対応するとよいでしょう。
サイト運営者の信頼性を「証明書」で確認する
実は、一概にsslとはいっても認証レベルが3段階あります。認証レベルによって、SSLサーバ証明書の呼び名が変わるので知っておくとよいでしょう。
- DV(Domain Validation)
- OV(Organization Validation)
- EV(Extended Validation)
認証レベルは、SSLサーバ証明書の発行を申請した組織(運営側)に対して、認証局がどれだけ調査をおこなうかによって変わります。ちなみに、暗号化の方法や破られにくさに違いはありません。
厳密には、調査が実施されなかった場合にはDV、認証局による調査が厳格に実施された場合はEVという風に認証レベルが決定します。つまりドメイン認証(DV)では、ページを運営する組織の存在が認証されていません。
よって、ある企業名を名乗っていてもそれが実在しているのか、はたまた本物なのかどうかが分からないということになります。フィッシング詐欺に引っかかるリスクもあるので、十分に注意しましょう。
スマートフォンで証明書を確認する方法
SSLの認証レベルは、ブラウザ上で確認することができます。本記事では、Internet ExplorerとGoogle Chromeでの認証レベル確認方法をご説明していきます。
- 鍵マークをクリックする
- 「証明書の表示(または「証明書」)」をクリックする
- 「詳細」タブを開く
- 「サブジェクト」をクリックする
- 証明書情報を確認する
ここでは、多くの人が利用するGoogle Chrome(PC/スマホ)での確認方法を例に説明します。ページURL付近にある鍵マークをクリックします。するとタブが開くので「証明書の表示」をクリックしてください。
すると、SSLサーバ証明書情報ダイアログが開きます。ちなみにこの画面では、証明書の発行先・発行者・有効期間を確認することができます。
では次に上部の「詳細」タブを開きましょう。
ここでは、ページに関するさまざまな詳細情報が記載されています。
次に「サブジェクト」をクリックすると、その下に「CN=」、「OU=」といった情報が表示されているかと思います。ここに記載されている証明書情報の種類によって、認証レベルを確認することができるのです。
ページURL付近にある鍵マークをクリックします。「この接続は保護されています」>「証明書は有効です」の順にタップすると、証明書の詳細が表示されます。
すると、Internet Explorerと同様にsslサーバ証明書情報ダイアログが開きます。次に、上部の「詳細」タブを開いて「サブジェクト」をクリックすれば、認証レベルを確認できる画面にたどり着くのです。
では次に、「CN=」、「OU=」といった情報から認証レベルを確認する方法を下記の表を用いてご説明します。
| DV |
・CN(コモンネーム) ・OU(部署名) ・C(国/地域名) |
|---|---|
| OV |
・CN(コモンネーム) ・O(運営組織名) ・L(所在地の市区町村) ・S(所在地の都道府県) ・C(所在地の国) |
| EV |
・CN(コモンネーム) ・O(運営組織名) ・STREET(所在地の町名・番地) ・L(所在地の市区町村) ・S(所在地の都道府県) ・C(所在地の国) ・1.3.6.1.4.311.60.2.1.3(国) ・SERIALNUMBER(登録番号) |
このように、sslの認証レベルによって証明書情報に記載のある項目が異なっているのです。
「セキュリティ警告」を装った偽画面に注意する
「ウイルスに感染しました」などの偽の警告画面を表示し、情報を盗み取ろうとする手口(フェイクアラート)にも注意が必要です。このような画面が出ても慌てず、ブラウザを閉じるなどの冷静な対応を心がけましょう。
今日から実践!安全にネット決済するためのアクションリスト
- 決済前には必ず「https://」と鍵マークを確認
- フリーWi-Fiでのカード決済はおこなわない
- サイト運営者の信頼性を確認する
- カード会社の本人認証サービス(3Dセキュア)を設定する
- 利用明細を定期的にチェックする
セキュリティをさらに強化するクレジットカードの選び方
SSL/TLSはサイト側の対策ですが、私たち利用者側でもカード選びでセキュリティを高めることができます。
「本人認証サービス(3Dセキュア2.0)に対応」「不正利用補償が手厚い」「利用通知サービスがある」といった観点でカードを選ぶのがおすすめです。
まとめ:SSL/TLSを正しく理解して安全なカードライフを
本記事では、クレジットカード情報を守るSSL/TLSという通信方式について解説しました。
Webページには、SSLが導入されていないHTTPという方式も存在するので、URLに「S」がついているか、鍵マークが表示されているかといった点で見分けるようにしましょう。
しかしフリーWi-Fi利用時やSSLの認証レベルによっては、100%安全といえないこともあります。
アプリを操作するときやクレジットカード情報を入力するときはWi-Fiを切る、認証レベルを確認するなどして対策しなければなりません。
クレジットカードのような便利なものには、リスクがつきものです。きちんとトラブルを回避する方法を身に着けて、安全に利用しましょう。
経済学部卒業。学生時代にライター業を開始し、大学卒業後はフリーライターとして活動。当メディア「マネ会」でのクレジットカードに関する記事はもちろん、株式投資・節約・電子マネーなどのお金に関する記事を、女性ならではの目線で多数執筆中。クレジットカードは楽天カード・イオンカードセレクト・エポスゴールドカードを保有している。キャッシュレス決済はQUICPayとPayPayを愛用しており、ポイントを貯めることとクーポンを使うことが大好き。