みなさんこんにちは。皆さんは「Cookie」という言葉をご存じでしょうか。本記事では多くのWebサイトで利用されているCookieについて簡単にご説明し、インターネットとWebサイトを安全に利用するための注意点を解説します。

「Cookie」とはWebサイトにアクセスしたユーザーに関する情報を保存し、再利用するための技術です。現在多くのWebサイトで利用されていて、例えば、ショッピング サイトでは、ユーザーが特定の商品ページに再びアクセスしたことをWebサイトに伝えたり、次回ホーム ページにアクセスしたときに、自動的にユーザー名やパスワードを入力したり、ユーザーに合わせたメニューや情報を表示するためなどに使われています。

Cookieの主な目的の1つは、時間を節約するための便利な機能を提供することにあります。例えば、ユーザーが Webページを個人用に設定したり、商品をお気に入りに追加した場合、Webサイトは、Cookieによってユーザー独自の情報を取得することができます。これは、請求書の送付先住所、配達先住所など、個人情報を記録するプロセスを簡潔化するのにも役立ちます。同じWebサイトを再び訪れたときに、前回提供した情報が取得されるため、前回選択したWebサイトの機能を手軽に使用することができます。

Cookieが、Webサイトをより便利にするために利用されていることは、ご理解いただけたと思います。ところで、ユーザーに関する情報を保存しているこのCookieは、安全にユーザーのコンピューターとWebサイトの間でやりとりされているでしょうか？Webサイトを安全にするものといったら、よく聞くのはSSL暗号化通信です。SSL暗号化通信はCookieと同じく、現在多くのWebサイトで導入されています。SSL暗号化通信が使用されているなら、HTMLフォームに入力した住所や電話番号と同じように、Cookieも暗号化して送信されるので安全です。

ここで、みなさんがよくアクセスするWebサイトのURLに注目してください。SSL暗号化通信が使われるのは、URLの先頭が「https://」で始まるWebページへアクセスするときだけです。多くのWebサイトではログイン ページ以降のURLが「https://」になっています。ユーザーが入力した情報はもちろん、Cookieも安全にやりとりされているのがこれでわかります。しかしよく見てみると、いくつかのWebサイトでは、ユーザー名とパスワードを入力するログイン ページは「https://」で始まっていても、その後アクセスするWebページは「http://」で始まっていることがあることに気づきます。実はこうしたWebサイトでは、ログイン後のWebページでSSL暗号化通信を使用していないため、ネットワーク上の攻撃者にCookieを傍受されてしまう可能性があります。Cookieを傍受されると、攻撃者に正規ユーザーを「なりすまし」される可能性があり、とても危険です。

こうしたWebサイトには、ネットワーク上の攻撃者によるCookieの傍受の他にも危険な点があります。それは、ログインページのセキュリティーが、セッション全体に適用されるものであると、ユーザーに誤解を与えてしまうことです。

Cookie傍受の危険性を回避するためには、ユーザー名とパスワードを入力するときだけでなく、セッション全体でSSL暗号化通信を使っているWebサイトだけを利用するようにします。また、ログインした後もURLが「https://」で始まっているか、よく観察しながら利用することが大切です。

今日では、SaaS (software as a service) という概念が話題を集めるようにもなりました。こうした「サービスとしてのソフトウェア」を提供しているWebサイトを利用しているユーザーは、重要な情報をWebサイトとやりとりすることもあると思いますので、特に注意が必要です。