paint-brush
「接続がプライベートではありません」という警告の説明@TheMarkup
2,272 測定値
2,272 測定値

「接続がプライベートではありません」という警告の説明

The Markup5m2022/10/02
Read on Terminal Reader
Read this story w/o Javascript

長すぎる; 読むには

インターネット旅行のある時点で、「あなたの接続は非公開ではありません。攻撃者があなたの情報を盗もうとしている可能性があります。」ページには通常、とにかく Web サイトに進むためのオプションが表示されます。しかし、あなたはすべきですか? Web サイトにアクセスするたびに、Web ブラウザーは 2 つのデジタル証明書 (トランスポート層セキュリティ (TLS) またはセキュア ソケット レイヤー (SSL) 証明書) のいずれかの存在を確認します。
featured image - 「接続がプライベートではありません」という警告の説明
The Markup HackerNoon profile picture

インターネット旅行のある時点で、「あなたの接続は非公開ではありません。攻撃者があなたの情報を盗もうとしている可能性があります。」ページには通常、とにかく Web サイトに進むオプションが表示されます。しかし、あなたはすべきですか?

このページにリダイレクトされたのはなぜですか?

今日、私たちはこれまで以上に多くの活動をオンラインで行っています。請求書の支払い、食料品の購入、医師とのやり取りなどです。これらの Web サイトの多くが個人情報を要求しているため、データの安全性を確保するために、Web ブラウザーのセキュリティ対策に依存しています。


Web サイトにアクセスするたびに、Web ブラウザー (Chrome、Safari、または Firefox など) はまず、Transport Layer Security (TLS) または Secure Sockets Layer (SSL) 証明書のいずれかのデジタル証明書の存在を確認します。これらは 2 つの重要なことを示しています。


最初に、彼らはウェブサイトの身元を確認し、ウェブサイトがそれが誰であるかを確認します.


次に、ウェブサイト上の情報と、ウェブサイトと共有するすべてのデータが安全で暗号化されていることを確認します。暗号化により、クレジット カード番号であろうと自宅の住所であろうと、共有する情報が傍受されても理解できないことが保証されます。


URL の左側にある小さな南京錠をクリックするか、Web サイトのリンクの先頭にある「HTTP」ではなく「HTTPS」を探して、Web サイトに有効な証明書があるかどうかを確認できます。


HTTPS の使用は、Web サイトが安全な証明書を使用して Web 間で情報を移動することを示します。


2014 年、 Googleは、証明書の存在を検索結果の品質要因として使用し、より安全なサイトを検索結果の上位に配置すると発表しました。


その後、2018 年に同社、Chrome ブラウザーが適切に構成された証明書 (TLS または SSL) を持たないすべての Web サイトにフラグを立て、「接続がプライベートではありません」というウィンドウを表示してユーザーに警告することを発表しました。他のブラウザも同様の対策を採用しています。


その結果、Web を閲覧しているときに、一部の Web サイトにアクセスしようとすると、このメッセージのバリエーションが表示される場合があります。

このまま Web サイトにアクセスすると、本当に私の情報が盗まれるのでしょうか?

おそらく。 Connection Not Private ウィンドウは、不適切に構成された証明書、最近期限切れになったばかりの証明書、または完全に欠落している証明書によってトリガーされる可能性があります。


適切な暗号化が行われていない Web サイトにアクセスすると、多くのサイバー脅威の危険にさらされる可能性があります。


あなたの情報は、セキュリティの専門家が「中間者」攻撃と呼ぶインターネット上を移動する際に傍受される可能性があります。電子フロンティア財団 (EFF) のシニア スタッフ技術者である Bill Budington 氏は、これは誰かがあなたの Wi-Fi 接続をハイジャックし、ハッキング ソフトウェアがあなたのデバイスが接続すべきアクセス ポイントであるとあなたのデバイスに思わせるときに最も頻繁に発生すると述べています。


このプロセスにより、攻撃者はインターネット トラフィックや Web サイトに提供されたデータにアクセスできるようになります。


「国民国家が国民をだまして google.com だと思わせることを意味するのか、ハッカーがコーヒー ショップの常連客をだまして客が閲覧しているドメインを漏らすことを意味するのかに関係なく、結果は同じです」と Budington 氏は述べています。


「これは、信頼できない当事者に決して委ねられていない機密データの侵害、および標的になりすましたり、訪問したサイトでの通信履歴を取得したりする可能性を意味します。」


これは、顧客が住所やクレジット カード番号などの機密情報を定期的に入力する e コマース Web サイトにアクセスする場合に特に危険です。この情報が傍受されると、個人情報の盗難が容易になる可能性があり、2021 年には過去最高を記録しました


あるホワイト ハット ハッカーは、暗号化されていない情報をオンラインで簡単に傍受できることを確認するために、独自の実験を行いました。彼のソフトウェアは実際のユーザー情報を収集しませんでしたが、モールで 1 日午後に 49 台のデバイスに接続しました。


暗号化せずに Web サイトにアクセスすると、ランサムウェア攻撃に対して脆弱になります。これは、ユーザーが感染した Web サイトにアクセスし、マルウェアがその人のデバイスに密かにダウンロードされた場合に発生する可能性があります。


このマルウェアにより、攻撃者は身代金を支払うまでユーザーのファイルを人質にとることができます。


最後に、警告を無視してサイトにアクセスし続けると、攻撃者が信頼できる Web サイトを装ってユーザーを金融情報やその他の機密情報を共有するように誘導するフィッシング攻撃にさらされる可能性があります。


この場合、Web サイトの証明書が認証されていないため、Connection Not Private メッセージがトリガーされます。ユーザーが銀行の URL を入力してこのメッセージが表示された場合、銀行の Web サイトには有効な証明書があるはずなので、何か問題が発生しています。

このような警告が表示された場合はどうすればよいですか?

最初のステップとして、セキュリティの専門家であり、ハーバード大学の教職員である Bruce Schneier は、正しい URL に接続しようとしていることを確認することを推奨しています。その後、Schneier 氏は、通常は判断が下されると述べています。


たとえば、知らない送信者からの電子メールのリンクをクリックしてアラートを受け取った場合は、続行しないでください。しかし、よく知られている URL を正しく入力した場合は、おそらく「単なるエラー」であるため、問題なく続行できると彼は言いました。


Schneier 氏によると、最近の証明書の有効期限切れや、入力された URL と証明書に関連付けられた名前の不一致など、アラートをトリガーする良性の理由は多数あります。


警告の原因を特定する方法があります。多くの場合、メッセージにはエラー コードが付随しており、調べることができます。


たとえば、エラー NET::ERR_CERT_COMMON_NAME_INVALID は通常、証明書の名前が入力された URL と一致しないことを意味します。


ウィンドウが表示されるもう 1 つの一般的な理由は、図書館や空港などの公共のインターネットで閲覧している場合です。公衆 Wi-Fi は、ローカル ネットワーク上の人々から中間者攻撃を受けやすくなります。


したがって、公衆 Wi-Fi では HTTPS を使用することがより重要です。これは、近くの人からの攻撃から保護するのに役立ちます。


エラーがまぐれではないことを確認したい場合は、コンピューターを再起動するか、キャッシュをクリアするか、プライベート Wi-Fi 接続に移動して、エラーが続くかどうかを確認してください。


おそらくそうかもしれませんが、とにかくサイトにアクセスすることに決めています。 Chrome または Firefox で閲覧している場合は、通常、エラー ウィンドウで [詳細設定] を選択し、リンクをクリックして Web サイトに進むことができます。繰り返しますが、これらの Web サイトでは保護されないため、パスワードからアドレスまでの個人情報の入力には注意してください。


また、Schneier は、検証済みの証明書によって Web サイトが暗号化されていることを確認できますが、Web サイトの所有者が悪意を持っている場合、他の方法で悪意を持っている可能性があると警告しています。

修正

このストーリーの以前のバージョンでは、証明書名が一致しない場合、データは暗号化されないと述べていました。これは正しくありません。そのバージョンのストーリーでは、パブリック Wi-Fi は HTTPS ではなく HTTP を使用しているため安全性が低いと誤って述べていました.


Wi-Fi ネットワークのセキュリティと Web サイトの HTTPS ステータスは無関係です。 Wi-Fi ネットワークはユーザーのコンピューターとルーター間の接続を保護しますが、HTTPS はユーザーのブラウザーと Web サイトをホストするサーバー間の接続を保護します。


作者:イヴ・ゼリクソン


こちらにも掲載


フィーチャー画像ソース