安全な接続だからサイトも安全というわけではない

　緑色の錠アイコンは、そのWebサイトに対して証明書が発行されていて暗号鍵ペアが生成済みであることを意味します。緑色の錠アイコンを持つWebサイトは、サイト訪問者とサイトの間でやりとりされる情報を暗号化します。ページURLは「https」で始まっていて、最後の「s」は「Secure（安全）」を表します。

　確かに、送信データの暗号化自体は良いことです。お使いのブラウザーとWebサイトの間でやりとりされる情報に、インターネットサービスプロバイダー（ISP）やネットワーク管理者、侵入者のような第三者がアクセスできないということですから。通信が暗号化されていれば、のぞかれる心配なくパスワードやクレジットカード情報を入力できます。

　しかし問題は、緑色の錠アイコンや発行された証明書がWebサイトそのものとは無関係な点です。フィッシングサイトであっても、簡単に証明書を取得し、訪問者とサイトの間のトラフィックをすべて暗号化できるのです。

　簡単に言うと、緑色の錠アイコンは、他の誰かに入力データをのぞき見されないことを保証しています。しかし、そのWebサイト自体が偽物ならば、パスワードは盗まれてしまいます。

　フィッシング詐欺を働く人々は、これを積極的に利用しています。Phishlabsの記事（英語）によると、今ではフィッシング詐欺の4分の1がHTTPSサイトで行われています（2年前は1%未満でした）。さらに、Phishlabsによる簡単なアンケートでは、URLの隣に緑色の錠アイコンがあればそのサイトは安全であると考える人が回答者の80%超に及んだ、という結果が出ています。

ソ－ス：HTTPSが安全とは限らない – カスペルスキー公式ブログ
https://blog.kaspersky.co.jp/https-does-not-mean-safe/19268/

関連：
・今なぜHTTPS化なのか？インターネットの信頼性のために、技術者が知っておきたいTLSの歴史と技術背景 - エンジニアHub｜若手Webエンジニアのキャリアを考える！
https://employment.en-japan.com/engineerhub/entry/2018/02/14/110000