クレジットカード情報を守ってくれる「ssl」って一体何?仕組みや利用時の注意点も解説
ネット通販サイトなどでクレジットカードの情報を入力することがありますが、これって安全性は担保されているのでしょうか?気兼ねなく入力している方がほとんどかと思いますが、万が一のことを考えるとゾッとしてしまいますよね。
実は、これらのネット上でやり取りされる重要な情報は「ssl」によって守られているのです。本記事では、私たちのクレジットカード情報を守ってくれるsslについて詳しく解説していきます。
どのような仕組みで守られているのか、sslが導入されているのかを確認する方法はあるのかなど、役立つ情報が盛りだくさんなのでぜひ最後まで読んでみてください。
sslはクレジットカード決済をするときに欠かせない通信方式
「ssl」は、ネット通販サイトなどオンライン上でクレジットカード情報を入力して決済に利用するときに、セキュリティ上必要不可欠な通信方式です。
近年ではクレジットカード情報を扱うサイトのほとんどで、sslが導入されています。
しかし、個人運営の古いサイトや違法サイトなどでは導入されていないケースもあるので、これまで何も気にせずクレジットカード情報を入力していたという方も、念のためsslが導入されているのかをチェックする癖をつけて、身の安全を守っていく必要があります。
もしsslが導入されていないページでクレジットカード情報を入力してしまうと、第三者から個人情報を抜き取られてしまうという恐ろしいリスクがあります。最悪の場合その情報が、悪用されてしまうかもしれません。
また、現在私たちが利用できるすべてのデバイスでsslが導入されているページが利用できるとは限らないので注意しましょう。なぜならssl導入ページを利用するには、sslに対応したブラウザが必要だからです。
最近のブラウザはほとんど対応していると思って問題ありませんが、古いブラウザだと対応していないこともあるのが現状です。基準としては、Internet Explorer6.0以上が推奨されています。
そもそもsslって何?
そもそもsslとは「Secure Sockets Layer」の略で、1994年にネットスケープ コミュニケーションズ社によって公開された通信方式のことをいいます。
sslが導入されているページでは、入力されたクレジットカード情報などが暗号化されることで第三者による不正利用を防ぐことが可能です。
また、Webページにはもう1つ、HTTP(Hyper Text Protocol)という通信方式が存在します。しかしHTTPページには情報を暗号化するという仕組みがないため、不正利用を防ぐことができないのです。
このようなHTTPの欠点を補うために誕生したのがsslです。
sslの誕生によって、クレジットカード情報などの個人情報が入力されることのないページではHTTPの方式がとられ、暗号化する必要があるページではsslが導入されるようになりました。
sslが導入されていないページでクレジットカード情報を入力することは、その情報を全世界に公開しているようなものなので、注意しましょう。
安全にクレジットカード決済!暗号化の仕組み
上記でも触れましたが、sslでは入力されたクレジットカード情報などの個人情報が暗号化されます。この暗号化は、下記のような手順でおこなわれます。
- 利用者がsslページにアクセスする
- ページのサーバからブラウザに「sslサーバ証明書」と「公開鍵」のデータが送られる
- 利用者のブラウザがsslサーバ証明書の電子証明書を確認する
- 利用者がページで入力したデータを公開鍵で暗号化してサーバに送る
- サーバは受信したデータを秘密鍵で復元する
まずsslサーバ証明書とは、sslが導入されているページURL付近にある鍵マークをクリックすると見ることができる証明書のことです。sslが導入されていることを証明する認証局が発行します。
そして、この証明書発行と同時に生成されるのが公開鍵です。公開鍵とは、データを暗号化するための鍵のことをいい、だれでも利用することができます。
クレジットカード情報などの個人情報を入力した利用者のブラウザが公開鍵を受け取り、暗号化してサーバに送るという流れです。
そして、公開鍵によって暗号化されたデータを復元できるのが秘密鍵ということになります。こちらも証明書発行と同時に生成される鍵なのですが、常にサーバ上に保管されているものです。
公開鍵で暗号化されたデータがサーバに届くと、秘密鍵でデータを復元(解読)してクレジットカード情報などの個人情報を受け取ることができます。sslにおける暗号化の仕組みについて、理解することができたでしょうか?
クレジットカード情報が筒抜け!?HTTP方式との見分け方
Webページで導入されている通信方式がsslなのかHTTPなのかということは、私たちでも簡単に見分けることができます。まず注目するべきなのが、そのページのURLです。
sslが導入されているページのURLは「https://」から始まる一方で、導入されていない場合は「http://」から始まります。つまり「s」(=secureのs)があるかどうかに違いがあります。
ページのURLは基本的にページの上部に表示されているので、ぜひ1度チェックしてみてくださいね。
また、上記でも触れましたが、そのURL付近に鍵マークが表示され、鍵マークをクリックすると「この接続は保護されています」と表示されることもありますよ。
こういったページでは情報が暗号化されてやり取りされるため、第三者に筒抜けになることはありません。見分け方を覚えて、安心して利用しましょう。
sslにもリスクがある!?クレジットカード決済時の注意点
sslはクレジットカード情報などの個人情報を守ってくれる重要な通信方式なのですが、100%安全かと聞かれるとそういうわけではありません。
ここでは、sslが導入されているページを利用してクレジットカード決済をおこなうときの注意点について、解説していきます。
フリーWi-Fiは情報漏えいリスクが高い
公共の場所や飲食店、ショッピングモールなどで利用できる大変便利なフリーWi-Fi。よく利用するという方もいらっしゃるかと思いますが、実は情報漏えいリスクが高いということをご存知でしたか?
知名度の高い大手企業が提供していることもありますが、実はほとんどの場合セキュリティ面が脆く、sslのように情報が暗号化されていないのです。
また、不特定多数の方が同じWi-Fiを利用することになるので、第三者による覗き見リスクを避けることは難しくなってしまいます。
もしフリーWi-Fiを利用するときは、sslが導入されているページを中心に利用することはもちろんですが、クレジットカード情報を入力するときはフリーWi-Fiの接続自体を切っておいた方が安全性が高まるのでおすすめです。
また、SNSやゲームなどでアプリを利用する場合、sslが導入されているかどうかをWebページのように利用者が見分けることはできなくなっています。
そのため、アプリ内でクレジットカード情報を入力するといった場合もフリーWi-Fiを切るなどして対応するとよいでしょう。便利なフリーWi-Fiですが、その便利さゆえに情報漏えいリスクが潜んでいるので要注意です。
sslには認証レベルがある
実は、一概にsslとはいっても認証レベルが3段階あります。認証レベルによって、sslサーバ証明書の呼び名が変わるので知っておくとよいでしょう。
- DV(Domain Validation)
- OV(Organization Validation)
- EV(Extended Validation)
認証レベルは、sslサーバ証明書の発行を申請した組織(運営側)に対して、認証局がどれだけ調査をおこなうかによって変わります。ちなみに、暗号化の方法や破られにくさに違いはありません。
厳密には、調査が実施されなかった場合にはDV、認証局による調査が厳格に実施された場合はEVという風に認証レベルが決定します。つまりDVでは、ページを運営する組織の存在が認証されていません。
よって、ある企業名を名乗っていてもそれが実在しているのか、はたまた本物なのかどうかが分からないということになります。フィッシング詐欺に引っかかるリスクもあるので、十分に注意しましょう。
認証レベルを確認する方法
sslの認証レベルは、ブラウザ上で確認することができます。本記事では、Internet ExplorerとGoogle Chromeでの認証レベル確認方法をご説明していきます。
- 鍵マークをクリックする
- 「証明書の表示(または「証明書」)」をクリックする
- 「詳細」タブを開く
- 「サブジェクト」をクリックする
- 証明書情報を確認する
まずは、Internet Explorerの画面を用いてご説明していきます。ページURL付近にある鍵マークをクリックします。するとタブが開くので「証明書の表示」をクリックしてください。
すると、sslサーバ証明書情報ダイアログが開きます。ちなみにこの画面では、証明書の発行先・発行者・有効期間を確認することができます。
では次に上部の「詳細」タブを開きましょう。
ここでは、ページに関するさまざまな詳細情報が記載されています。
次に「サブジェクト」をクリックすると、その下に「CN=」、「OU=」といった情報が表示されているかと思います。ここに記載されている証明書情報の種類によって、認証レベルを確認することができるのです。
次に、Google Chromeの画面を用いてご説明していきます。手順としてはInternet Explorerとほとんど同じです。
まず、ページURL付近にある鍵マークをクリックします。するとタブが開くので「証明書」をクリックしてください。
すると、Internet Explorerと同様にsslサーバ証明書情報ダイアログが開きます。次に、上部の「詳細」タブを開いて「サブジェクト」をクリックすれば、認証レベルを確認できる画面にたどり着くのです。
では次に、「CN=」、「OU=」といった情報から認証レベルを確認する方法を下記の表を用いてご説明します。
DV |
・CN(コモンネーム) ・OU(部署名) ・C(国/地域名) |
---|---|
OV |
・CN(コモンネーム) ・O(運営組織名) ・L(所在地の市区町村) ・S(所在地の都道府県) ・C(所在地の国) |
EV |
・CN(コモンネーム) ・O(運営組織名) ・STREET(所在地の町名・番地) ・L(所在地の市区町村) ・S(所在地の都道府県) ・C(所在地の国) ・1.3.6.1.4.311.60.2.1.3(国) ・SERIALNUMBER(登録番号) |
このように、sslの認証レベルによって証明書情報に記載のある項目が異なっているのです。レベルが高くなるほど、発行者の詳細がより明らかになっていることがわかります。ぜひこちらも参考にしてみてくださいね。
クレジットカード情報を守る!sslについてのまとめ
本記事では、クレジットカード情報を守るsslという通信方式について解説しました。
Webページには、sslが導入されていないHTTPという方式も存在するので、URLに「s」がついているか、鍵マークが表示されているかといった点で見分けるようにしましょう。
しかしフリーWi-Fi利用時やsslの認証レベルによっては、100%安全といえないこともあります。
アプリを操作するときやクレジットカード情報を入力するときはWi-Fiを切る、認証レベルを確認するなどして対策しなければなりません。
クレジットカードのような便利なものには、リスクがつきものです。きちんとトラブルを回避する方法を身に着けて、安全に利用しましょう。
経済学部卒業。学生時代にライター業を開始し、大学卒業後はフリーライターとして活動。当メディア「マネ会」でのクレジットカードに関する記事はもちろん、株式投資・節約・電子マネーなどのお金に関する記事を、女性ならではの目線で多数執筆中。クレジットカードは楽天カード・イオンカードセレクト・エポスゴールドカードを保有している。キャッシュレス決済はQUICPayとPayPayを愛用しており、ポイントを貯めることとクーポンを使うことが大好き。