昨日のあさイチのVTRで「スマートフォンでの買物もできるだけしない」という事を言いました。クレジットカードの特集だったため、ほぼそれについては触れられませんでしたが、少し解説したいと思います。

まず、スマートフォンの通常ブラウザの場合、アドレス欄が短く、URLを確認するのが難しくなります。ドメインには、サブドメインという、ドメインの前のアドレスはいくらでも管理者が作成できるようになっています。

例えば、保有しているpoitan.jpというドメインの場合、www.poitan.jpやnews.poitan.jpなど、wwwやnewsなどのサブドメインを作ることが可能です。このサブドメイン機能を利用し、例えば、shopping.yahoo.co.jp.poitan.jpというサブドメインも作ることができるのです。これをスマートフォンで見ると、アドレス欄が短く、「Yahoo!ショッピングのサイトだな」と勘違いすることもあります。PCのブラウザでは、もう少しアドレス欄が長いため、最後のpoitan.jpまで表示されるはずです。

続いてアプリについてです。アプリというのは、ウェブブラウザよりも見やすくなっているだけで、商品検索、商品詳細、ログインや購入は全てブラウザでアクセスした時と同じような動作をします。つまり、サーバとの接続になっているということです。

しかし、アプリの場合、できるだけスマートフォンの画面を大きく使いたいためにアドレス欄がありません。したがって、ログインやクレジットカードの入力時の通信が、SSL（https）接続なのかhttpなのかは判断できなくなっています。

ログインやクレジットカード入力時には「SSL（https）接続（ブラウザのアドレスバーで色が変わる、または鍵マークが付く）でなければ危険ですよ」と知っている人も増えていると思いますが、アプリの場合はその判断ができないということです。
ただし、専門的な知識があれば、アプリとサーバがどのような通信を行っているか確認することができますので、今回はYahoo!ショッピングのアプリでのログイン時にどのようなデータのやり取りがあるのかを確認してみたいと思います。

ログイン情報を見ると、https://login.yahoo.co.jpとSSL（https）接続されていることが確認できました。つまり、Yahoo!ショッピングのアプリの場合、ログイン時にIDやパスワードが暗号化された通信になっているので安全ということがわかります。

他の通信を見ても、Yahoo!ショッピングに関するデータ以外は送信していないようです。ただし、このように通信を毎回確認するのはほぼ不可能ですので、アプリ提供会社を信用できなければアプリを使うのはやめましょう。

もし、ログインやクレジットカードの入力時にhttpで接続されていた場合、どうなるのでしょうか？　ネットワーク上をID・パスワードやクレジットカード番号が見られる（暗号化されていない）状態で流れているため、悪意のある人がいれば、ID・パスワード、クレジットカード番号を抜き取ることができてしまいます。特に、スマートフォンの場合は、パケット制限がありますので、フリーWi-Fiに接続する人も多いです。悪意のある人がフリーWi-Fiを設置していれば、簡単に情報は抜き取れます。

私はサイバーセキュリティの専門家というわけではありませんが、専門家でなくてもこのくらいのデータを抜き取ることができます。世界中のハッカーやクラッカーはもっともっと知識が豊富です。最低でもこのくらいのリスクはあります、ということを覚えておいてください。

もちろん、クレジットカードと同じように、スマートフォンなしの生活は難しくなっています。「スマートフォンは危険なので使わないようにしましょう」ということではなく、こんなリスクがあります、という事を知っていながら使ってもらいたいと思います。

先日書いたように、個人情報は漏洩するものです。漏洩した後に、被害を少なくする方法を考えながら使う事を考えておきましょう。

そういえば、あさイチで「スマートフォンの闇」のような特集ってしたことはあるのでしょうか？