御社の企業情報ページはhttpsでアクセスできますか？

セキュリティ専門家の高木浩光氏が、ブログで「なぜ一流企業はhttpsでの閲覧をさせないようにするのか」という記事を出しました。銀行など金融機関のサイトで、電話問い合わせ番号を掲載しているページがhttpsではアクセスできない場合があることを警告している記事です。

・なぜ一流企業はhttpsでの閲覧をさせないようにするのか (高木浩光＠自宅の日記)
→ http://takagi-hiromitsu.jp/diary/20100227.html#p01

元は携帯サイトの「かんたんログイン」の仕組みのセキュリティ上の問題点を述べる話題ですが、金融機関の問い合わせ先電話番号を掲載しているページがhttpsでアクセスできないことに言及しています。今回のテーマはそちら。

なぜ問い合わせ先電話番号が掲載されているページなど、顧客に間違いなく情報を伝える必要のあるページはhttpsでアクセスできるべきなのでしょうか？ それは、SSLを使っていれば、その内容が正しいサーバーから送られた情報であることを確認できるからです。逆に言うと、SSLを使わない通常のhttp ページでは、偽のサーバーに誘導されていたり、経路上で内容が改ざんされていたりしても、それに気づかないことがあるのです。

「フィッシング対策ガイドライン」内の記述

たとえば、あなたが外出先で財布をなくしたとします。幸い手元にノートパソコンがあったので、野良WiFi（だれかが設置している無線LANアクセスポイント）からインターネットに接続してクレジットカード会社の問い合わせ先ページを見て、カードの停止を依頼したとします。しかし、その無線LANアクセスポイントが悪意をもって設置されたもので、そのネットワークではクレジットカード会社や金融機関の問い合わせ先電話番号ページへのアクセスが偽のページに誘導されていたとすると、あなたは偽ページの情報を見て、悪意をもった罠の番号に電話をかけることになります。あなたは当然、正しいクレジットカード会社の問い合わせ先に電話していると思っているので、クレジットカード番号と名義、さらに「本人確認のために」と言われたら、カードの有効期限やその他の個人情報も伝えてしまうでしょう。

問い合わせ先電話番号ページがhttpsで提供されていれば、あなたは証明書を確認して、それが正しいサーバーから送られてきた情報であり、経路の途中で改ざんされていないことをチェックできますが、httpsでなければそれすら確認できません。