2017年02月18日 08時00分 セキュリティ

サイトの「HTTPS化」が世界的に進んで大きなターニングポイントを迎える

By Sean MacEntee



通信の内容を暗号化することでセキュアなインターネット通信を実現するHTTPSへの対応が全世界的に進められています。セキュリティ関連の専門家であるトロイ・ハント氏はこの状況について、変化の動きが急激に大きくなるティッピングポイントに達したと指摘しています。



Troy Hunt: HTTPS adoption has reached the tipping point

https://www.troyhunt.com/https-adoption-has-reached-the-tipping-point/



ハント氏はまず、2016年10月にネットのトラフィックをモニタリングしているMozilla Telemetryにおいて、HTTPS経由で送信されたページリクエストが全体の50%を超えたことを挙げて潮目の変化を示しています。



Yesterday, for the first time, @Mozilla telemetry shows more than 50% of page loads were encrypted with HTTPS. pic.twitter.com/kADcLOLsQ7 — Let's Encrypt (@letsencrypt) 2016年10月14日



グラフの青い線がHTTPS経由のリクエストの比率を示しており、全体的なトレンドとしては右肩上がりの上昇傾向を見せていることがわかります。ただし、これは1つの注目すべきポイントであるのは確かなのですが、必ずしも「全てのサイトの半数がHTTPS経由でリクエストを受けている」というわけではない点には留意が必要とのこと。トラフィックの多くはFacebookやTwitter、Gmailといったメジャー級サイトへのアクセスのためというのがその理由です。とはいえ、トレンドとしてHTTPSへの流れが生まれているのは厳然たる事実といえそう。





そんな流れを裏付けるようなデータも公開されています。ネット上のトラフィックを分析しているAlexaでは、ネット上のウェブサイトのうちどの程度がユーザーからのアクセスをHTTPからHTTPSにリダイレクトしているかを定期的に調査。その結果、以下のグラフが示すように、かつては6%台だったリダイレクト率は2017年2月には18.4%にまで増加していることが明らかになっています。こちらは前出のグラフ以上に右肩上がりの状況であることが見てとれます。





さらに、ブラウザレベルでのセキュア対策が進められているのも近年の潮流の一つです。ハント氏はさまざまなサイトの実態を調査して対応を提案しているとのことで、航空会社のカンタス航空の例を挙げて説明しています。



Hi @Qantas, I just went to login to my frequent flyer account and the browser is warning me that it's not secure. Is something wrong? pic.twitter.com/6Bu4v9f5Qn — Troy Hunt (@troyhunt) 2017年1月26日



ハント氏がカンタス航空のサイトでフリークエントフライヤープログラムのアカウントにログインしようとしたところ、「Not Secure (セキュアではない接続)」というメッセージがURLバーに表示されたとのこと。自分でも「僕は明らかにカンタスにケンカを売ってるね！」というハント氏ですが、アカウントへのログインページで十分なセキュリティが施されていないという実態を明かすことは重要であると指摘。なお、この画面はChrome 56でアクセスした時のものとのこと。





さらに、Firefox 51でアクセスした場合の画面も公表するハント氏。Firefoxの場合はURLの横に赤い斜線の入った鍵マークが示されており、セキュアではないことが一目瞭然の状態となっています。このような状態が悪用されると、ハッキングの常套手段である中間者攻撃(Man-in-the-Middle：MitM)の踏み台にされてしまう危険があります。



Hi @Qantas, I just went to login to my frequent flyer account and the browser is warning me that it's not secure. Is something wrong? pic.twitter.com/5ZuUX3j4AE — Troy Hunt (@troyhunt) 2017年1月28日



別のケースでは、ハント氏が宿泊先のホテルで用意されているWi-Fiに接続した時のことが紹介されています。ブラウザを立ち上げ、CNNのサイトにアクセスしようとしたところ、リダイレクト処理がかかり……





ホテルWi-Fiのログインページが表示されました。このような場合になると、最初にCNNのサイトに対して送信されたCookie情報が別の場所にリダイレクトされてしまいプライバシーがリスクにさらされるとのこと。一方、CNNのタブの左にあるほかのサイトはHTTPS接続のため、途中で接続がストップされてプライバシー情報を含むデータの送信が停止された状態だとのこと。





ハント氏の調べによると、ニューヨーク・タイムズやArs Technica、The Next Webなどをはじめとする多くのサイトがHTTPS対応を完了していく状況にあるそうです。これらのサイトは、2017年1月にHTTPS対応完了を表明したサイトだとのこと。



https://t.co/xxkWaizPqR now defaults to HTTPS! Only 789 days since blogging about it... — Eitan Konigsburg (@eitanmk) 2017年1月10日

Ars announces HTTPS by default (finally) https://t.co/LX2SPQfq5Z by @Lee_Ars — Ars Technica (@arstechnica) 2017年1月25日

HTTPS is now enabled on TNW https://t.co/kF0LzBDeIn — TNW (@TheNextWeb) 2017年1月26日



また、「HTTPSは遅い」という声もある中、実際には速度そのものも改善が進んでいるとのこと。HTTP接続とHTTPS接続のスピードの違いを比較できるサイト「HTTP vs HTTPS」にアクセスすると両者の違いを確認できるのですが、場合によっては以下のようにHTTP接続の方が遅くなるケースもみられるとのこと。



HTTPS is slow. No - wait - is it HTTP that's slow?! https://t.co/T49GG7oCaK pic.twitter.com/cfnYOpXMWc — Troy Hunt (@troyhunt) 2016年7月8日



このように、HTTPS対応を進めるのはウェブ全体の潮流として定着しつつあるという状況といえるようです。

